Feature Anleitung: E-Mail verschlüsseln auf Mac und iOS

[Farafan]

Ich habe den Link zur Einrichtung gestern Abend noch an alle Macuser in meinem Umfeld weiter geschickt. Die bisherigen Rückmeldungen lauten leider "Oh je, das ist mir zu kompliziert", "Und wenn dabei was kaputt geht...?" , "Bisher ging es doch auch immer ohne......" und "Kannst du das nicht bei mir einrichten?

Die notwendige Sensibilität ist einfach noch nicht da, aber trotzdem danke für die toll gemachte Anleitung!

 

[Reservist]

Für mich war jedenfalls das ausschlaggebende Argument, dass ich mit S/MIME auf iOS Devices die Mails lesen kann.

Natürlich. Der Grund ist auch gut, deswegen habe ich u.a. auch S/MIME installiert. Ich bin dir auch äußerst dankbar für diese Anleitung, weil man sich gerade das für iOS vorher zusammensuchen musste.

 

[Reservist]

Für mich war jedenfalls das ausschlaggebende Argument, dass ich mit S/MIME auf iOS Devices die Mails lesen kann.

Natürlich. Der Grund ist auch gut, deswegen habe ich u.a. auch S/MIME installiert. Ich bin dir auch äußerst dankbar für diese Anleitung, weil man sich gerade das für iOS vorher zusammensuchen musste.

 

[bluejay]

Wenn ich denen nun eine verschlüsselte Mail schicke und diese die nicht lesen können, dann löschen Sie die, weil sie ja denken, es sei etwas "kaputt".

Das wird in der Praxis so nicht funktionieren. Um jemandem eine verschlüsselte E-Mail zu schicken benötigst Du den öffentlichen Schlüssel Deines E-Mail-Partners. Mit dem wird dann Deine E-Mail verschlüsselt. Mit dem privaten Schlüssel kann dann der Empfänger die mit seinem öffentlichen Schlüssel von Dir verschlüsselte E-Mail entschlüsseln und somit auch lesen.
Mit anderen Worten: Du kannst keine E-Mail verschlüsseln ohne den öffentlichen Schlüssel des Empfängers zu haben und damit kann auch niemand verschlüsselte E-Mails bekommen, die er nicht lesen kann.
(Einigermaßen verständlich? )

 

[Mitglied 129448]

Ich finde es toll das dieses Thema mal aufgegriffen wird, auch wenn ich der Meinung bin, dass Email-Verschlüsselung niemals die breite Masse der Nutzer erreichen wird. Habe mich selbst vor einem halben Jahr durch das Thema gewühlt und benutzte seit dem ein kostenpflichtiges Klasse 2 Zertifikat. GPG war mir auch zu viel Bastelei! Bei jedem Update von OSX bleibt zu hoffen das die Software kompatibel ist, dann die mangelnde Kompatibilität zu den mobilen Geräten... ne Danke.

Zwei Dinge, kann ich zu S/MIME eventuell noch anmerken:

Zum Ersten:

IOS Mail-App
... Ist die Datei auf dem Schreibtisch angekommen, kann man sie sich per Mail an sein iPhone beziehungsweise iPod senden. Dieser Schritt ist theoretisch nicht hundertprozentig sicher, aber wenn man ein starkes Passwort verwendet hat, sollte es keine Probleme geben.

Ein absolut sicherer Weg, abgesehen von einem eigenen lokalen Email Server, ist die Verwendung des "Apple Configurators". Hiermit können alle iDevices mit einem eigenen Profil ausgestattet werden und unter anderem direkt mit dem Zertifikat versorgt werden. Zugegeben, ist er recht umständlich und daher nur den Nutzern zu empfehlen, die absolute Sicherheit bei der Übertragung Ihres Zertifikates erhalten möchten. Für Nutzer die das Programm ohnehin nutzen ist der zusätzliche Aufwand minimal.

Das Zweite ist der verwendete Algorithmus mit dem ein Zertifikat ausgestellt wird. Bisher wurde weitgehend SHA-1 verwendet, was allerdings schon seit Jahren als unsicher gilt. Auch wenn SHA-1 erst 2017 vollständig aus dem Verkehr gezogen werden soll, sollten Nutzer die einen besonderen Fokus auf Sicherheit legen darauf achten, das sie ein Zertifikat mit SHA-256 erhalten.

 

[bluejay]

Ein, wie ich meine, wichtiger Hinweis fehlt in der Anleitung noch: Damit S/MIME-Signatur/Verschlüsselung funktioniert müssen auf dem jeweiligen System neben Euren persönlichen Zertifikaten auch die Root-Zertifikate des jeweiligen Anbieters installiert sein. Ein großer Teil ist sowohl unter OSX, iOS, Windows und Linux bereits vom System vorinstalliert – CAcert gehört beispielsweise aber nicht dazu. Da sollte man sich vor der Auswahl seines Zertifikatanbieters kundig machen, denn sonst wird die ganze Sache – gerade auch unter iOS – noch komplizierter.
Irgendwo hatte ich auch mal einen Link, wo die ganzen vorinstallierten Root-Zertifikate für OSX und iOS aufgelistet waren, finde ich aber gerade leider nicht . Vielleicht kann ja jemand helfen

 

[Mitglied 129448]

Bitte sehr: https://support.apple.com/kb/HT5012?viewlocale=de_DE

EDIT: Noch mal zu den Root Zertifikaten: Sollte dieses auf dem iDevice nicht vorhanden sein, funktioniert soweit ich weiß alles ohne Probleme. Das die Kette nicht stimmt, sieht man glaube nur unter "Einstellungen > Profile". Dort wird das eigene Zertifikat dann als "nicht vertrauenswürdig" angezeigt.

 

[bluejay]

Bitte sehr …

Aaahhh, ja, danke, genau das war's.

 

[Guy.brush]

Es gab dazu meines Wissens auch mal eine schöne Anleitung im Wiki.

 

[naich]

Für mich war jedenfalls das ausschlaggebende Argument, dass ich mit S/MIME auf iOS Devices die Mails lesen kann.

Ich bin mir da sehr unsicher, ob ich das überhaupt will. Immerhin geht so ein iOS Device schneller verloren oder wird irgendwo mal unbeaufsichtigt hingelegt als der Laptop oder Desktop-Rechner.

Die Frage ist halt wie der Schlüssel auf dem Device verschlüsselt ist. Wenn er nur mit einer 4-Stelligen PIN geschützt ist, mag das vielleicht nicht ganz so sicher sein.

 

[MacMark]

Falls ".p12" beim Export für iOS im Schlüsselbund ausgegraut ist, dann sicherstellen, daß man unter "Category" den Bereich "My Certificates" ausgewählt hat. Dann ist auch p12 verfügbar.

Alternativ zum Email-Versand des Zertifikates zum iDevice, kann man es auch auf einen Webserver legen und mit Safari runterladen. So habe ich es gemacht.

 

[Mitglied 128076]

Bei Problemen mit dem installieren auf den 2. Rechner:

Prozedere: Man hat das Zertifikat wahrscheinlich per Netzlaufwerk kopiert und nach Doppelklick landete es nur in "Zertifikate". Es muss aber in "Meine Zertifikate".

@Michael Reimann meinte zu mir, dass Mail sich in "Meine Zertifikate" bedient und so ja keines zum Verschlüsseln findet.
Das allgemeine "Zertifikat" Verzeichnis speichert z.B. die empfangenen Schlüssel der Absender anderer Mails.

Wie bekommt man also das eigene Zertifikat in den richtigen Ordner?

- Kopieren geht nicht
- Importieren geht nicht
- Verschieben geht nicht

Jede Auslagerung / Exportierung in jedes verfügbare Format (p12 war grau geblieben) scheiterte.

Lösung:

Einfach noch mal vom Quellrechner per Mail das Zertifikat.p12, welches man ja bereits mit Passwort exportiert hatte und auf dem Schreibtisch abgelegt hatte, wie bei der iPhone Variante per Mail senden und dann von der Mail aus mit Doppelklick installieren.

Ein Blick in den Schlüsselbund in "Meine Zertifikate" und schon war es da und ich konnte nach dem Neustart von Mail auch verschlüsselt und signiert Mailen.

 

[usie]

Super, vielen Dank an das Apfeltalk-Team für diesen Beitrag. Ich habe die Anleitung auf meinen Geräten schon umgesetzt und auf Freunde benachrichtigt. Übrigens auch eine sehr informative Sendung am letzten Freitag.

 

[Robotunixorn]

Ich habe ca. 60 Privat and 20 Geschäftskunden, was nutzt mir dort eine Verschlüsselung wenn keiner bereit ist mitzumachen? Soll ich Jährlich 80 Mails verschicken mit Aufforderung zur neu Verschlüsselung?

Der Guide ist ja ranz nett, aber einfach nur interessant für Technik Geeks!

Leute wir müssen Apple und Co. dazu bringen Verschlüsselung direkt oder zumindest sehr einfach zu integrieren sonst ist das alles nur Weltfremd.

 

[Michael Reimann]

Ich habe ca. 60 Privat and 20 Geschäftskunden, was nutzt mir dort eine Verschlüsselung wenn keiner bereit ist mitzumachen? Soll ich Jährlich 80 Mails verschicken mit Aufforderung zur neu Verschlüsselung?

Der Guide ist ja ranz nett, aber einfach nur interessant für Technik Geeks!

Leute wir müssen Apple und Co. dazu bringen Verschlüsselung direkt oder zumindest sehr einfach zu integrieren sonst ist das alles nur Weltfremd.

Hmm also von "Weltfremd" zu sprechen bei einer etablierten Technologie ist schon ein starkes Wort. Wenn Geschäftspartner nicht bereit sind, ihre Mails zu verschlüsseln ist denen auch nicht mehr zu helfen. In einem Punkt gebe ich Dir Recht, man sollte auf die Konzerne einwirken. Aber mit "Geek-Tum" hat das Thema nun wahrlich nichts zu tun.

Leider bedeutet Sicherheit immer auch ein bisschen (wirklich nur ein bisschen) mehr Arbeit, wer selbst dazu nicht bereit ist, hat dann eben Pech.

 

[Michael Reimann]

Ein, wie ich meine, wichtiger Hinweis fehlt in der Anleitung noch: Damit S/MIME-Signatur/Verschlüsselung funktioniert müssen auf dem jeweiligen System neben Euren persönlichen Zertifikaten auch die Root-Zertifikate des jeweiligen Anbieters installiert sein. Ein großer Teil ist sowohl unter OSX, iOS, Windows und Linux bereits vom System vorinstalliert – CAcert gehört beispielsweise aber nicht dazu. Da sollte man sich vor der Auswahl seines Zertifikatanbieters kundig machen, denn sonst wird die ganze Sache – gerade auch unter iOS – noch komplizierter.

Du hast völlig Recht. Deswegen habe ich in dieser Anleitung auf eine andere Root-CA zugegriffen, die in allen gängigen Systemen bereits enthalten sein sollte. Aber es ist prinzipiell eine gute Idee da vorher mal zu recherchieren.

 

[Robotunixorn]

Hmm also von "Weltfremd" zu sprechen bei einer etablierten Technologie ist schon ein starkes Wort. Wenn Geschäftspartner nicht bereit sind, ihre Mails zu verschlüsseln ist denen auch nicht mehr zu helfen. In einem Punkt gebe ich Dir Recht, man sollte auf die Konzerne einwirken. Aber mit "Geek-Tum" hat das Thema nun wahrlich nichts zu tun.

Leider bedeutet Sicherheit immer auch ein bisschen (wirklich nur ein bisschen) mehr Arbeit, wer selbst dazu nicht bereit ist, hat dann eben Pech.

Siehst da fängt es schon an, "es ist ihnen nicht mehr zu helfen" aha, was stellst du dir jetzt vor soll ich meinem Kunden kündigen mit der Begründung mir ist meine digitale Sicherheit wichtiger wie unser gemeinsames Geschäft?

Du redest bei Weltfremd von "etablierter Technologie" ich rede bei Weltfremd von "etablierter Soziologie".

Spätes Edit: Bitte versteh mich nicht falsch, ich bin total dafür zu Zertifizeren und Verschlüsseln (habe ja selbst) und sehr sehr froh über diesen Guide ABER wir müssen das auch mal nüchtern betrachten.

 

[Robotunixorn]

Falls ".p12" beim Export für iOS im Schlüsselbund ausgegraut ist, dann sicherstellen, daß man unter "Category" den Bereich "My Certificates" ausgewählt hat. Dann ist auch p12 verfügbar.

Alternativ zum Email-Versand des Zertifikates zum iDevice, kann man es auch auf einen Webserver legen und mit Safari runterladen. So habe ich es gemacht.

Dropbox kann zb auch dafür verwendet werden.

 

[Mitglied 129448]

...soll ich meinem Kunden kündigen mit der Begründung mir ist meine digitale Sicherheit wichtiger wie unser gemeinsames Geschäft?

Es geht doch beim Einsatz von Zertifikaten auch um ganz andere Dinge. Eines davon ist doch die Authentizität der Kommunikation und das GERADE im geschäftlichen Bereich. Und dafür ist es egal ob der Empfänger ebenfalls auf GPG oder S/MIME setzt.

Verschlüsselung und Signierung sind zwei verschiedene Aspekte unter denen man auch deutlich unterscheiden sollte.

 

[Mitglied 128076]

Dropbox kann zb auch dafür verwendet werden.

Es gab Probleme, zumindest bei mir, das so nach meinem iMac auch auf meinem Mac Book einzurichten. Gemäß meiner "Problem - Lösung" weiter oben beschriebenen Prozedur ging es nur per Mail, da das Zertifikat sonst komischerweise nur in "Zertifikate" und nicht in "Meine Zertifikate" gesetzt und in Mail daraufhin nicht erkannt wurde.