- Registriert
- 18.03.09
- Beiträge
- 9.286
Vielleicht haben ja einige von euch unsere Apfeltalk LIVE! Sendung zum Thema „Sicherheit im Netz“ gesehen. (Wenn nicht: Hier kann man das nachholen!) Ein Thema der Sendung war auch die Verschlüsselung von E-Mails. Mit ein wenig Zeit – ca. 30 Minuten – kann man seine Mails digital signieren und ggf. verschlüsseln. Wir zeigen euch mit dieser kleinen Anleitung, wie das sowohl unter OS X mit dem Programm Mail geht, als auch auf iOS-Devices mit dem vorinstallierten Mail-Programm. [prbreak][/prbreak]
Zum Einsatz kommt für die Verschlüsselung in dieser Anleitung der Standard S/MIME. Dieser Standard wird von vielen Mail Programmen unterstützt und bietet eine relativ einfache Einrichtung. Benötigt werden für eine erfolgreiche Signierung und Verschlüsselung von E-Mails so genannte Zertifikate. Diese kann man sich aber kostenlos im Netz von autorisierten Stellen besorgen. In der Regel besitzen diese Zertifikate eine Gültigkeit von einem Jahr. Danach müssen sie erneuert, beziehungsweise ausgetauscht werden.
Aber der Reihe nach: Beginnen wir also zunächst mit der Einrichtung von Verschlüsselung und Signierung auf OS X.
OS X Mail-App
Wer eine Apple ID und einen iCloud-Account hat, hat in der Regel auch ein bereits eingerichtetes Mail Programm unter OS X. Der vorhandene iCloud-Account musst auch nicht neu eingerichtet werden, er kann so weiter verwendet werden.
Folgende Schritte sind also zu tun:
1. Zertifikat besorgen und installieren
Wie oben erwähnt, benötigt man für die Verschlüsselung und die Signierung von E-Mails ein gültiges Zertifikat, das von den Mail Programmen erkannt wird. Dieses kann man sich bei einer Zertifizierungsstelle herunter laden. Zum Beispiel unter diesem Link: https://www.comodo.com/home/email-security/free-email-certificate.php
Um ein gültiges Zertifikat zu erhalten, muss man lediglich seine E-Mail-Adresse und seinen Namen angeben. Außerdem ein so genanntes Revocation-Passwort. Mit diesem Passwort kann man das Zertifikat später wieder für ungültig erklären, sollte es beispielsweise in falsche Hände geraten sein.
Nachdem das Zertifikat erfolgreich erzeugt wurde, bekommt man von der Seite eine E-Mail mit einem Downloadlink. Nach dem Download befindet sich eine Datei mit der Änderung .p7s auf dem Rechner. Diese wird durch einen Doppelklick in der Schlüsselbundverwaltung installiert. Wichtig: Damit das Zertifikat in der Schlüsselbundveraltung installiert werden kann, muss der Download mit Safari erfolgen. (Danke an @naich für den Hinweis!) Bitte überprüfen, ob das Zertifikat nach der Installation im Bereich "Meine Zertifikate" gelandet ist, denn nur da wird es korrekt von Mail.app erkannt. Bitte sich darauf achten, dass es sich im Schlüsselbund "Anmeldung" befindet. (Siehe Screenshot, Danke an @bruni für den Hinweis.)
2. Mail-App neustarten
Es ist fast zu schön, um wahr zu sein. Durch einen einfachen Neustart der Mail-App ist die Installation des Zertifikat ist bereits beendet. Ab sofort ist jede neue E-Mail automatisch digital signiert.
3. Signiert und/oder verschlüsselt senden
Wenn man genau hinschaut, bemerkt man zwei Symbole im E-Mail-Fenster. Eines der Symbole ist für die digitale Unterschrift, das andere steht für die Verschlüsselung. Damit die verschlüsselte E-Mail auch beim Empfänger entschlüsselt werden kann, müssen zumindest einmal die Zertifikate ausgetauscht werden. Das geschieht ganz einfach in dem man eine E-Mail mit einer digitalen Unterschrift an den gewünschten Empfänger sendet dieser muss im Umkehrschluss das Gleiche tun. (Natürlich muss auch der Empfänger vorher ein Zertifikat installiert haben.)
Diese beiden E-Mails sind zunächst noch unverschlüsselt. Aber sobald beide Partner ihre Zertifikate auf diese Weise ausgetauscht haben, können Sie sich verschlüsselte Mails senden. Die Verschlüsselung wird durch den zweiten Button eingeschaltet, der wie ein kleines Schloss aussieht.
Mit auf diese Weise eingerichteten Zertifikaten, wird automatisch jede Mail signiert. Die Verschlüsselung ist immer zusätzlich anwählbar.
Wenn eine Mail signiert und verschlüsselt verschickt werden soll, müssen beide Symbole wie in dem Bild oben aussehen.
Ist das Schloss hingegen geöffnet, wird die Mail nur digital unterschrieben, was zum Erstaustausch der Zertifikate ausreicht. Generell kann man die digitale Unterschrift immer aktiviert lassen.
IOS Mail-App
Wer über ein iCloud-Mail-Konto verfügt, möchte natürlich auch unterwegs die Verschlüsselung benutzen und seine E-Mails, die er vom Mac gesendet hat auch auf dem Mobilgerät lesen. Daher muss das oben erzeugte Zertifikat natürlich auch hier installiert werden.
Ganz so komfortabel wie unter OS X ist es leider auf dem iPhone/iPod beziehungsweise dem iPad nicht. Beide Geräte können mit dem .p7s-File das wir erhalten haben, nichts anfangen.
Damit die Geräte das Zertifikat erfolgreich installieren können, muss es aus der Schlüsselbundverwaltung des Macs exportiert werden in eine .p12 Datei. Dazu muss man das Zertifikat in der Schlüsselbundverwaltung finden. Es ist beschriftet wie die entsprechende E-Mail-Adresse. Danach einen Rechtsklick drauf und exportieren wählen. Und Speicher Ort kann man beispielsweise den Schreibtisch angeben.
Um das Zertifikat zu exportieren, wird ein Passwort benötigt hier sollte man ein möglichst gutes wählen.
Ist die Datei auf dem Schreibtisch angekommen, kann man sie sich per Mail an sein iPhone beziehungsweise iPod senden. Dieser Schritt ist theoretisch nicht hundertprozentig sicher, aber wenn man ein starkes Passwort verwendet hat, sollte es keine Probleme geben.
Ist die Mail erfolgreich auf dem iPhone/iPod oder iPad angekommen, einfach auf den Dateianhang tippen und schon wird das Zertifikat auf dem Gerät installiert. Wer eine höhere Sicherheit erreichen möchte, kann das Zertifikat auf einem lokalen Webserver kopieren und von dort mit dem iPhone oder iPad herunterladen. Wie man auf einem Mac (unter 10.9.x Mavericks) den vorhandenen Apache-Webserver aktiviert findet sich als Anleitung im Netz.
Damit man künftig signierte und verschlüsselte Mails versenden und empfangen kann, muss noch die es S/MIME Einstellung in Mail Programm aktiviert werden. Das geht unter Einstellungen -> Mail, Kontakte, Kalender -> der Mail-Account -> Account -> Erweitert (ganz nach unten) -> S/MIME (ganz unten).
Es kann außerdem festgelegt werden, ob Mails immer unterschrieben und verschlüsselt werden sollen. (Die Verschlüsselung greift natürlich nur, wenn auch das Zertifikat vom Empfänger bekannt ist.)
Wenn alles geklappt hat, zeigt das Mail Programm künftig an ob eine Mail signiert und/oder verschlüsselt ist.
Hier am Beispiel unseres Studiogastes aus der Sendung vom 25. April.
Um verschlüsselte E-Mails senden zu können, braucht es auch an dieser Stelle ein vorab Austausch der Zertifikate zwischen den Empfängern.
Auch andere Mail-Clients unterstützen S/MIME. Wenn ihr einen anderen Client, als die Standards verwenden wollt, solltet ihr aber vorher schauen, ob die jeweilige App S/MIME kann oder nicht. Einen Hinweis für Google-Mail-User: Die Clients unterstützen derzeit (unter iOS) kein S/MIME. Wer seine Mail über das Webinterface der iCloud lesen will oder muss, muss ebenfalls auf die Verschlüsselung verzichten. Aber in der Regel sind Webmail-Clients ja per https-Verbindung erreichbar.
Nachtrag: Was passiert, wenn das eigene Zertifikat abläuft?
In der Regel werden die Zertifikate ja mit einer Gültigkeit von einem Jahr geliefert. Nach diesem Jahr wird das Zertifikat immer noch benötigt, um alle Mails, die damit verschlüsselt wurden, weiterhin zu lesen. Gleichzeitig holt man sich ein neues Zertifikat. Damit man auch weiterhin verschlüsseln kann.
Nachtrag #2: Wo gehören die Zertifikate hin?
Unter OS X muss sich das Mail-Zertifikat zwingend in der Schlüsselbund-Verwaltung unter "Meine Zertifikate" befinden, sonst erkennt Mail.app dieses nicht. Damit es zuverlässig dort landet sollte es direkt aus der Mail heraus geöffnet werden. User @DaywalkerV hat as herausgefunden und beschrieben: Hier! Außerdem gehören sie in den Schlüsselbund "Anmeldung" (Siehe oben!)
Nachtrag #3: Verwendung auf mehreren Macs möglich?
Klares Ja. Die Zertifikats-Datei von Comodo ist nicht an einen bestimmten Rechner gebunden und kann auf mehreren Mac eingesetzt werden. Allerdings immer nur für die jeweilige E-Mail-Adresse. Wer also mehrere Adressen/Acoounts hat, benötigt auch entsprechend viele Zertifikate.
Update [19.04.2015]: Die durch die oben geschilderte Anleitung installierten Zertifikate laufen nach einem Jahr aus. Es muss dann pro E-Mail-Adresse ein Neues beantragt werden. Die Prozedur der Installation bleibt die gleiche. Es sollte das alte Zertifikat auf jeden Fall installiert bleiben, wenn man alte Mails, die damit signiert und verschlüsselt wurden immer noch lesen möchte.
Update [8.5.2015]: Nachtrag durch @Oliver Bergmann
Zum Einsatz kommt für die Verschlüsselung in dieser Anleitung der Standard S/MIME. Dieser Standard wird von vielen Mail Programmen unterstützt und bietet eine relativ einfache Einrichtung. Benötigt werden für eine erfolgreiche Signierung und Verschlüsselung von E-Mails so genannte Zertifikate. Diese kann man sich aber kostenlos im Netz von autorisierten Stellen besorgen. In der Regel besitzen diese Zertifikate eine Gültigkeit von einem Jahr. Danach müssen sie erneuert, beziehungsweise ausgetauscht werden.
Aber der Reihe nach: Beginnen wir also zunächst mit der Einrichtung von Verschlüsselung und Signierung auf OS X.
OS X Mail-App
Wer eine Apple ID und einen iCloud-Account hat, hat in der Regel auch ein bereits eingerichtetes Mail Programm unter OS X. Der vorhandene iCloud-Account musst auch nicht neu eingerichtet werden, er kann so weiter verwendet werden.
Folgende Schritte sind also zu tun:
1. Zertifikat besorgen und installieren
Wie oben erwähnt, benötigt man für die Verschlüsselung und die Signierung von E-Mails ein gültiges Zertifikat, das von den Mail Programmen erkannt wird. Dieses kann man sich bei einer Zertifizierungsstelle herunter laden. Zum Beispiel unter diesem Link: https://www.comodo.com/home/email-security/free-email-certificate.php
Um ein gültiges Zertifikat zu erhalten, muss man lediglich seine E-Mail-Adresse und seinen Namen angeben. Außerdem ein so genanntes Revocation-Passwort. Mit diesem Passwort kann man das Zertifikat später wieder für ungültig erklären, sollte es beispielsweise in falsche Hände geraten sein.
Nachdem das Zertifikat erfolgreich erzeugt wurde, bekommt man von der Seite eine E-Mail mit einem Downloadlink. Nach dem Download befindet sich eine Datei mit der Änderung .p7s auf dem Rechner. Diese wird durch einen Doppelklick in der Schlüsselbundverwaltung installiert. Wichtig: Damit das Zertifikat in der Schlüsselbundveraltung installiert werden kann, muss der Download mit Safari erfolgen. (Danke an @naich für den Hinweis!) Bitte überprüfen, ob das Zertifikat nach der Installation im Bereich "Meine Zertifikate" gelandet ist, denn nur da wird es korrekt von Mail.app erkannt. Bitte sich darauf achten, dass es sich im Schlüsselbund "Anmeldung" befindet. (Siehe Screenshot, Danke an @bruni für den Hinweis.)
2. Mail-App neustarten
Es ist fast zu schön, um wahr zu sein. Durch einen einfachen Neustart der Mail-App ist die Installation des Zertifikat ist bereits beendet. Ab sofort ist jede neue E-Mail automatisch digital signiert.
3. Signiert und/oder verschlüsselt senden
Wenn man genau hinschaut, bemerkt man zwei Symbole im E-Mail-Fenster. Eines der Symbole ist für die digitale Unterschrift, das andere steht für die Verschlüsselung. Damit die verschlüsselte E-Mail auch beim Empfänger entschlüsselt werden kann, müssen zumindest einmal die Zertifikate ausgetauscht werden. Das geschieht ganz einfach in dem man eine E-Mail mit einer digitalen Unterschrift an den gewünschten Empfänger sendet dieser muss im Umkehrschluss das Gleiche tun. (Natürlich muss auch der Empfänger vorher ein Zertifikat installiert haben.)
Diese beiden E-Mails sind zunächst noch unverschlüsselt. Aber sobald beide Partner ihre Zertifikate auf diese Weise ausgetauscht haben, können Sie sich verschlüsselte Mails senden. Die Verschlüsselung wird durch den zweiten Button eingeschaltet, der wie ein kleines Schloss aussieht.
Mit auf diese Weise eingerichteten Zertifikaten, wird automatisch jede Mail signiert. Die Verschlüsselung ist immer zusätzlich anwählbar.
Wenn eine Mail signiert und verschlüsselt verschickt werden soll, müssen beide Symbole wie in dem Bild oben aussehen.
Ist das Schloss hingegen geöffnet, wird die Mail nur digital unterschrieben, was zum Erstaustausch der Zertifikate ausreicht. Generell kann man die digitale Unterschrift immer aktiviert lassen.
IOS Mail-App
Wer über ein iCloud-Mail-Konto verfügt, möchte natürlich auch unterwegs die Verschlüsselung benutzen und seine E-Mails, die er vom Mac gesendet hat auch auf dem Mobilgerät lesen. Daher muss das oben erzeugte Zertifikat natürlich auch hier installiert werden.
Ganz so komfortabel wie unter OS X ist es leider auf dem iPhone/iPod beziehungsweise dem iPad nicht. Beide Geräte können mit dem .p7s-File das wir erhalten haben, nichts anfangen.
Damit die Geräte das Zertifikat erfolgreich installieren können, muss es aus der Schlüsselbundverwaltung des Macs exportiert werden in eine .p12 Datei. Dazu muss man das Zertifikat in der Schlüsselbundverwaltung finden. Es ist beschriftet wie die entsprechende E-Mail-Adresse. Danach einen Rechtsklick drauf und exportieren wählen. Und Speicher Ort kann man beispielsweise den Schreibtisch angeben.
Um das Zertifikat zu exportieren, wird ein Passwort benötigt hier sollte man ein möglichst gutes wählen.
Ist die Datei auf dem Schreibtisch angekommen, kann man sie sich per Mail an sein iPhone beziehungsweise iPod senden. Dieser Schritt ist theoretisch nicht hundertprozentig sicher, aber wenn man ein starkes Passwort verwendet hat, sollte es keine Probleme geben.
Ist die Mail erfolgreich auf dem iPhone/iPod oder iPad angekommen, einfach auf den Dateianhang tippen und schon wird das Zertifikat auf dem Gerät installiert. Wer eine höhere Sicherheit erreichen möchte, kann das Zertifikat auf einem lokalen Webserver kopieren und von dort mit dem iPhone oder iPad herunterladen. Wie man auf einem Mac (unter 10.9.x Mavericks) den vorhandenen Apache-Webserver aktiviert findet sich als Anleitung im Netz.
Damit man künftig signierte und verschlüsselte Mails versenden und empfangen kann, muss noch die es S/MIME Einstellung in Mail Programm aktiviert werden. Das geht unter Einstellungen -> Mail, Kontakte, Kalender -> der Mail-Account -> Account -> Erweitert (ganz nach unten) -> S/MIME (ganz unten).
Es kann außerdem festgelegt werden, ob Mails immer unterschrieben und verschlüsselt werden sollen. (Die Verschlüsselung greift natürlich nur, wenn auch das Zertifikat vom Empfänger bekannt ist.)
Wenn alles geklappt hat, zeigt das Mail Programm künftig an ob eine Mail signiert und/oder verschlüsselt ist.
Hier am Beispiel unseres Studiogastes aus der Sendung vom 25. April.
Um verschlüsselte E-Mails senden zu können, braucht es auch an dieser Stelle ein vorab Austausch der Zertifikate zwischen den Empfängern.
Auch andere Mail-Clients unterstützen S/MIME. Wenn ihr einen anderen Client, als die Standards verwenden wollt, solltet ihr aber vorher schauen, ob die jeweilige App S/MIME kann oder nicht. Einen Hinweis für Google-Mail-User: Die Clients unterstützen derzeit (unter iOS) kein S/MIME. Wer seine Mail über das Webinterface der iCloud lesen will oder muss, muss ebenfalls auf die Verschlüsselung verzichten. Aber in der Regel sind Webmail-Clients ja per https-Verbindung erreichbar.
Nachtrag: Was passiert, wenn das eigene Zertifikat abläuft?
In der Regel werden die Zertifikate ja mit einer Gültigkeit von einem Jahr geliefert. Nach diesem Jahr wird das Zertifikat immer noch benötigt, um alle Mails, die damit verschlüsselt wurden, weiterhin zu lesen. Gleichzeitig holt man sich ein neues Zertifikat. Damit man auch weiterhin verschlüsseln kann.
Nachtrag #2: Wo gehören die Zertifikate hin?
Unter OS X muss sich das Mail-Zertifikat zwingend in der Schlüsselbund-Verwaltung unter "Meine Zertifikate" befinden, sonst erkennt Mail.app dieses nicht. Damit es zuverlässig dort landet sollte es direkt aus der Mail heraus geöffnet werden. User @DaywalkerV hat as herausgefunden und beschrieben: Hier! Außerdem gehören sie in den Schlüsselbund "Anmeldung" (Siehe oben!)
Nachtrag #3: Verwendung auf mehreren Macs möglich?
Klares Ja. Die Zertifikats-Datei von Comodo ist nicht an einen bestimmten Rechner gebunden und kann auf mehreren Mac eingesetzt werden. Allerdings immer nur für die jeweilige E-Mail-Adresse. Wer also mehrere Adressen/Acoounts hat, benötigt auch entsprechend viele Zertifikate.
Update [19.04.2015]: Die durch die oben geschilderte Anleitung installierten Zertifikate laufen nach einem Jahr aus. Es muss dann pro E-Mail-Adresse ein Neues beantragt werden. Die Prozedur der Installation bleibt die gleiche. Es sollte das alte Zertifikat auf jeden Fall installiert bleiben, wenn man alte Mails, die damit signiert und verschlüsselt wurden immer noch lesen möchte.
Update [8.5.2015]: Nachtrag durch @Oliver Bergmann
Um das Zertifikat auf das iDevice zu bekommen, wurde damals "schicke es per Mail" genannt. (Natürlich passwortgeschützt, um zumindest etwas Sicherheit zu gewährleisten) - Nun, nach Yosemite und AirDrop Möglichkeit, kann man es sich natürlich im eigenen WLAN per AirDrop schicken und muss das Zertifikat nicht um die halbe Welt senden
Zuletzt bearbeitet:
