Feature Anleitung: E-Mail verschlüsseln auf Mac und iOS

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Vielleicht haben ja einige von euch unsere Apfeltalk LIVE! Sendung zum Thema „Sicherheit im Netz“ gesehen. (Wenn nicht: Hier kann man das nachholen!) Ein Thema der Sendung war auch die Verschlüsselung von E-Mails. Mit ein wenig Zeit – ca. 30 Minuten – kann man seine Mails digital signieren und ggf. verschlüsseln. Wir zeigen euch mit dieser kleinen Anleitung, wie das sowohl unter OS X mit dem Programm Mail geht, als auch auf iOS-Devices mit dem vorinstallierten Mail-Programm. [prbreak][/prbreak]

Bildschirmfoto 2014-04-26 um 20.50.15.png

Zum Einsatz kommt für die Verschlüsselung in dieser Anleitung der Standard S/MIME. Dieser Standard wird von vielen Mail Programmen unterstützt und bietet eine relativ einfache Einrichtung. Benötigt werden für eine erfolgreiche Signierung und Verschlüsselung von E-Mails so genannte Zertifikate. Diese kann man sich aber kostenlos im Netz von autorisierten Stellen besorgen. In der Regel besitzen diese Zertifikate eine Gültigkeit von einem Jahr. Danach müssen sie erneuert, beziehungsweise ausgetauscht werden.

Aber der Reihe nach: Beginnen wir also zunächst mit der Einrichtung von Verschlüsselung und Signierung auf OS X.

OS X Mail-App

Wer eine Apple ID und einen iCloud-Account hat, hat in der Regel auch ein bereits eingerichtetes Mail Programm unter OS X. Der vorhandene iCloud-Account musst auch nicht neu eingerichtet werden, er kann so weiter verwendet werden.

Folgende Schritte sind also zu tun:

1. Zertifikat besorgen und installieren
Wie oben erwähnt, benötigt man für die Verschlüsselung und die Signierung von E-Mails ein gültiges Zertifikat, das von den Mail Programmen erkannt wird. Dieses kann man sich bei einer Zertifizierungsstelle herunter laden. Zum Beispiel unter diesem Link: https://www.comodo.com/home/email-security/free-email-certificate.php

Um ein gültiges Zertifikat zu erhalten, muss man lediglich seine E-Mail-Adresse und seinen Namen angeben. Außerdem ein so genanntes Revocation-Passwort. Mit diesem Passwort kann man das Zertifikat später wieder für ungültig erklären, sollte es beispielsweise in falsche Hände geraten sein.

Nachdem das Zertifikat erfolgreich erzeugt wurde, bekommt man von der Seite eine E-Mail mit einem Downloadlink. Nach dem Download befindet sich eine Datei mit der Änderung .p7s auf dem Rechner. Diese wird durch einen Doppelklick in der Schlüsselbundverwaltung installiert. Wichtig: Damit das Zertifikat in der Schlüsselbundveraltung installiert werden kann, muss der Download mit Safari erfolgen. (Danke an @naich für den Hinweis!) Bitte überprüfen, ob das Zertifikat nach der Installation im Bereich "Meine Zertifikate" gelandet ist, denn nur da wird es korrekt von Mail.app erkannt. Bitte sich darauf achten, dass es sich im Schlüsselbund "Anmeldung" befindet. (Siehe Screenshot, Danke an @bruni für den Hinweis.)

Bildschirmfoto 2014-04-28 um 07.32.26.png

2. Mail-App neustarten
Es ist fast zu schön, um wahr zu sein. Durch einen einfachen Neustart der Mail-App ist die Installation des Zertifikat ist bereits beendet. Ab sofort ist jede neue E-Mail automatisch digital signiert.

3. Signiert und/oder verschlüsselt senden
Wenn man genau hinschaut, bemerkt man zwei Symbole im E-Mail-Fenster. Eines der Symbole ist für die digitale Unterschrift, das andere steht für die Verschlüsselung. Damit die verschlüsselte E-Mail auch beim Empfänger entschlüsselt werden kann, müssen zumindest einmal die Zertifikate ausgetauscht werden. Das geschieht ganz einfach in dem man eine E-Mail mit einer digitalen Unterschrift an den gewünschten Empfänger sendet dieser muss im Umkehrschluss das Gleiche tun. (Natürlich muss auch der Empfänger vorher ein Zertifikat installiert haben.)

e-mail1.png

Diese beiden E-Mails sind zunächst noch unverschlüsselt. Aber sobald beide Partner ihre Zertifikate auf diese Weise ausgetauscht haben, können Sie sich verschlüsselte Mails senden. Die Verschlüsselung wird durch den zweiten Button eingeschaltet, der wie ein kleines Schloss aussieht.

Mit auf diese Weise eingerichteten Zertifikaten, wird automatisch jede Mail signiert. Die Verschlüsselung ist immer zusätzlich anwählbar.

Bildschirmfoto 2014-04-26 um 20.30.15.png
Wenn eine Mail signiert und verschlüsselt verschickt werden soll, müssen beide Symbole wie in dem Bild oben aussehen.

Bildschirmfoto 2014-04-26 um 20.29.39.png
Ist das Schloss hingegen geöffnet, wird die Mail nur digital unterschrieben, was zum Erstaustausch der Zertifikate ausreicht. Generell kann man die digitale Unterschrift immer aktiviert lassen.

IOS Mail-App

Wer über ein iCloud-Mail-Konto verfügt, möchte natürlich auch unterwegs die Verschlüsselung benutzen und seine E-Mails, die er vom Mac gesendet hat auch auf dem Mobilgerät lesen. Daher muss das oben erzeugte Zertifikat natürlich auch hier installiert werden.

Ganz so komfortabel wie unter OS X ist es leider auf dem iPhone/iPod beziehungsweise dem iPad nicht. Beide Geräte können mit dem .p7s-File das wir erhalten haben, nichts anfangen.

Damit die Geräte das Zertifikat erfolgreich installieren können, muss es aus der Schlüsselbundverwaltung des Macs exportiert werden in eine .p12 Datei. Dazu muss man das Zertifikat in der Schlüsselbundverwaltung finden. Es ist beschriftet wie die entsprechende E-Mail-Adresse. Danach einen Rechtsklick drauf und exportieren wählen. Und Speicher Ort kann man beispielsweise den Schreibtisch angeben.

Um das Zertifikat zu exportieren, wird ein Passwort benötigt hier sollte man ein möglichst gutes wählen.

Ist die Datei auf dem Schreibtisch angekommen, kann man sie sich per Mail an sein iPhone beziehungsweise iPod senden. Dieser Schritt ist theoretisch nicht hundertprozentig sicher, aber wenn man ein starkes Passwort verwendet hat, sollte es keine Probleme geben.

Ist die Mail erfolgreich auf dem iPhone/iPod oder iPad angekommen, einfach auf den Dateianhang tippen und schon wird das Zertifikat auf dem Gerät installiert. Wer eine höhere Sicherheit erreichen möchte, kann das Zertifikat auf einem lokalen Webserver kopieren und von dort mit dem iPhone oder iPad herunterladen. Wie man auf einem Mac (unter 10.9.x Mavericks) den vorhandenen Apache-Webserver aktiviert findet sich als Anleitung im Netz.

Damit man künftig signierte und verschlüsselte Mails versenden und empfangen kann, muss noch die es S/MIME Einstellung in Mail Programm aktiviert werden. Das geht unter Einstellungen -> Mail, Kontakte, Kalender -> der Mail-Account -> Account -> Erweitert (ganz nach unten) -> S/MIME (ganz unten).

IMG_3712.PNG

Es kann außerdem festgelegt werden, ob Mails immer unterschrieben und verschlüsselt werden sollen. (Die Verschlüsselung greift natürlich nur, wenn auch das Zertifikat vom Empfänger bekannt ist.)

Wenn alles geklappt hat, zeigt das Mail Programm künftig an ob eine Mail signiert und/oder verschlüsselt ist.

IMG_3711.PNG
Hier am Beispiel unseres Studiogastes aus der Sendung vom 25. April.

Um verschlüsselte E-Mails senden zu können, braucht es auch an dieser Stelle ein vorab Austausch der Zertifikate zwischen den Empfängern.

Auch andere Mail-Clients unterstützen S/MIME. Wenn ihr einen anderen Client, als die Standards verwenden wollt, solltet ihr aber vorher schauen, ob die jeweilige App S/MIME kann oder nicht. Einen Hinweis für Google-Mail-User: Die Clients unterstützen derzeit (unter iOS) kein S/MIME. Wer seine Mail über das Webinterface der iCloud lesen will oder muss, muss ebenfalls auf die Verschlüsselung verzichten. Aber in der Regel sind Webmail-Clients ja per https-Verbindung erreichbar.

Nachtrag: Was passiert, wenn das eigene Zertifikat abläuft?
In der Regel werden die Zertifikate ja mit einer Gültigkeit von einem Jahr geliefert. Nach diesem Jahr wird das Zertifikat immer noch benötigt, um alle Mails, die damit verschlüsselt wurden, weiterhin zu lesen. Gleichzeitig holt man sich ein neues Zertifikat. Damit man auch weiterhin verschlüsseln kann.

Nachtrag #2: Wo gehören die Zertifikate hin?
Unter OS X muss sich das Mail-Zertifikat zwingend in der Schlüsselbund-Verwaltung unter "Meine Zertifikate" befinden, sonst erkennt Mail.app dieses nicht. Damit es zuverlässig dort landet sollte es direkt aus der Mail heraus geöffnet werden. User @DaywalkerV hat as herausgefunden und beschrieben: Hier! Außerdem gehören sie in den Schlüsselbund "Anmeldung" (Siehe oben!)

Nachtrag #3: Verwendung auf mehreren Macs möglich?
Klares Ja. Die Zertifikats-Datei von Comodo ist nicht an einen bestimmten Rechner gebunden und kann auf mehreren Mac eingesetzt werden. Allerdings immer nur für die jeweilige E-Mail-Adresse. Wer also mehrere Adressen/Acoounts hat, benötigt auch entsprechend viele Zertifikate.

Update [19.04.2015]: Die durch die oben geschilderte Anleitung installierten Zertifikate laufen nach einem Jahr aus. Es muss dann pro E-Mail-Adresse ein Neues beantragt werden. Die Prozedur der Installation bleibt die gleiche. Es sollte das alte Zertifikat auf jeden Fall installiert bleiben, wenn man alte Mails, die damit signiert und verschlüsselt wurden immer noch lesen möchte.

Update [8.5.2015]: Nachtrag durch @Oliver Bergmann
Um das Zertifikat auf das iDevice zu bekommen, wurde damals "schicke es per Mail" genannt. (Natürlich passwortgeschützt, um zumindest etwas Sicherheit zu gewährleisten) - Nun, nach Yosemite und AirDrop Möglichkeit, kann man es sich natürlich im eigenen WLAN per AirDrop schicken und muss das Zertifikat nicht um die halbe Welt senden ;)
 
Zuletzt bearbeitet:

-ApeX-

Querina
Registriert
16.02.13
Beiträge
185
Erstmal klasse, dass ihr dazu eine Anleitung postet!

Allerdings kann ich folgenden Satz nicht nachvollziehen:

Aber in der Regel sind Webmail-Clients ja per https-Verbindung erreichbar.

Das hat doch nichts mit der Email zutun, sondern noch mit der Verbindung vom eigenen PC zum Server. Die Email ist dennoch für jeden Anbieter auf dem Weg zum Ziel lesbar.

Edit: Zu langsam...
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Schon klar. Man hat eben als Webmail-User (derzeit) keine Chance!
 

speedlimiter

Reinette Coulon
Registriert
28.06.09
Beiträge
936
Mir ist noch nie dieses blaue S/MIME in der rechten oberen Ecke aufgefallen, obwohl ich schon lange Zertifikate für Mail nutze.
 

ando-x88

Celler Dickstiel
Registriert
29.03.07
Beiträge
799
Was passiert eigentlich, wenn ich nach einem Jahr das Zertifikat gegen ein neues tausche? Können die alten Emails im Postfach dann noch entschlüsselt werden?
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Du musst ein Neues installieren und das Alte nicht löschen, dann werden auch alte Mails entschlüsselt.
 

deloco

Weißer Winterkalvill
Registriert
14.11.07
Beiträge
3.505
Ich muss ja sagen, dass ich inzwischen S/MIME wieder den Rücken gekehrt habe, um PGP/GPG zu nutzen. Finde ich um einiges angenehmer und die Nutzung mit OS X Mail ist prinzipiell die selbe. Die Erklärung, wie man sich ein Zertifikat erstellen lässt und installiert ist einfach weitaus schwieriger, als das installieren der GPG-Tools und das erstellen eines Schlüssels…
Einfach GPG (www.gpgtools.org) installieren und dann ein Schlüsselpaar erzeugen. Man kann dann auswählen, ob man OpenGPG oder S/MIME nutzen möchte, läuft beides nebeneinander.
Bildschirmfoto 2014-04-26 um 21.26.09.png OpenGPG hat lediglich den Nachteil, dass iOS das nicht nativ unterstützt und man damit auf ein anderes Mailprogramm angewiesen ist, wenn man die Verschlüsselung auch am iPhone nutzen möchte.
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Edit: War zu langsam mit der Antwort! :D
Ja, aber GPG/PGP wird von weniger Leuten genutzt und es geht nicht mit dem Standard-Client unter iOS.
 
  • Like
Reaktionen: Balkenende

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Ich habe auch Beides in Verwendung, allerdings ist das Handling mit S/MIME - finde ich - deutlich angenehmer. Und PGP/GPG ist nicht immer so problemlos installierbar.
 

deloco

Weißer Winterkalvill
Registriert
14.11.07
Beiträge
3.505
Ich habe das genau umgekehrt empfunden. Vor allem, weil man eben Zertifikate von irgendwelchen Anbietern erstellen lassen muss.
 

bruni

Boskoop
Registriert
04.11.11
Beiträge
40
Super Sache! Danke für die Anleitung.
Habe den halben Nachmittag damit verbracht, nach Anleitungen, Tipps und Tricks im Internet zu suchen und jetzt erhalte ich alles auf dem Silbertablett serviert.. ;)
 
  • Like
Reaktionen: Michael Reimann

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Ich habe das genau umgekehrt empfunden. Vor allem, weil man eben Zertifikate von irgendwelchen Anbietern erstellen lassen muss.
Naja, das sind schon große Zertifizierungsstellen.Bei der PGP-Lösung muss man die Dinger selber signieren und das ist auch nicht so richtig vertrauenswürdig. ;) Es sei denn man läßt sich die Dinger signieren. Heise macht das gelegentlich auf Messen.
 

naich

Pomme d'or
Registriert
22.11.08
Beiträge
3.082
Nachdem das Zertifikat erfolgreich erzeugt wurde, bekommt man von der Seite eine E-Mail mit einem Downloadlink. Nach dem Download befindet sich eine Datei mit der Änderung .p7s auf dem Rechner.

Weißt du ob der private Schlüssel im Brower oder auf dem Server erzeugt wird und mit der Datei dann runtergeladen wird? Ich hoffe mal auf ersteres, dann sollte man aber erwähnen dass man die Webseite mit dem Safari aufrufen sollte.
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Weißt du ob der private Schlüssel im Brower oder auf dem Server erzeugt wird und mit der Datei dann runtergeladen wird? Ich hoffe mal auf ersteres, dann sollte man aber erwähnen dass man die Webseite mit dem Safari aufrufen sollte.
Gute Frage. Also ich verstehe es so, dass der private Key auf dem Browser erzeugt wird.

Bildschirmfoto 2014-04-26 um 22.00.46.png
 

Anhänge

  • Bildschirmfoto 2014-04-26 um 21.59.56.png
    Bildschirmfoto 2014-04-26 um 21.59.56.png
    187,2 KB · Aufrufe: 538

Reservist

Stahls Winterprinz
Registriert
26.10.10
Beiträge
5.128
Ja, aber GPG/PGP wird von weniger Leuten genutzt

Im privaten Bereich wage ich das zu bezweifeln. Es ist schon schwierig die meisten Leute überhaupt zu einer Verschlüsselung zu bewegen und der "Aufwand" sich ein S/MIME-Zertifikat zu erstellen ist nicht zu unterschätzen. Da ist PGP/GPG doch deutlich einfacher, gerade unter OSX.

Nachteil ist die schon genannte Frickelei unter iOS. Und dass es nicht mit Webmailern funktioniert, und ca. 90% der Leute benutzen die.



Aber selbst für Behörden gibt es keine klare Linie, welcher Verschlüsselungstyp bevorzugt wird. Das BSI z.B. nutzt S/MIME (Zertifikate), während das BMI z.B. PGP nutzt (PGP-Schlüssels) aber als Hilfestellung auf das BSI verweist.
 

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.719
Also ich finde: Ein Doppelklick zur Installation des Zertifikats ist aus meiner Sicht nicht schwierig. Die Key-Generierung mit GnuPGP oder ähnlichem ist da deutlich aufwändiger.

Generell hast Du aber Recht: Es ist einfach zu verwirrend, weil es keine klare Linie gibt.


Sent from my iPad using Apfeltalk mobile app
 

Reservist

Stahls Winterprinz
Registriert
26.10.10
Beiträge
5.128
Also ich finde: Ein Doppelklick zur Installation des Zertifikats ist aus meiner Sicht nicht schwierig.

Die Installation des fertigen Zertifikates ist kein Problem, das ist richtig. Die Erstellung eines Zertifikates ist ein Problem. Ich bin selber definitiv kein DAU, aber mein Zertifikat habe ich z.B. von startssl.com . Als Newbie muss man erst einmal überhaupt durchblicken, welches Zertifikat man benötigt, sich dann dort anmelden alles korrekt auswählen, Key dann nachher aus dem Schlüsselbund exportieren usw. Das darf man nicht unterschätzen.


Bei GPG klicke ich bei Mac im "GPG Schlüsselbund" auf "Neu" und "generieren". Fertig.
 

togi2k1

deaktivierter Benutzer
Registriert
12.09.12
Beiträge
34
Weißt du ob der private Schlüssel im Brower oder auf dem Server erzeugt wird und mit der Datei dann runtergeladen wird? Ich hoffe mal auf ersteres, dann sollte man aber erwähnen dass man die Webseite mit dem Safari aufrufen sollte.
Ich habe es zuerst im Firefox probiert da habe ich aber nur ein Fehlermeldung bekommen. Im Safari hat es dann funktioniert.

Ich habe das Zetifikat dann per Doppelklick geöffnet und der Schlüsselverwaltung hinzugefügt (ich sehe das Zertifikat auch in der Schlüsselbundverwaltung). Allerdings hat sich bei Mail nichts geändert. Ich sehe weder oben rechts das blaue "S/MIME" Symbol noch habe ich die beiden Symbole für Verschlüsselung und Signature. Ich habe Mail mehrfach neu gestartet, es hilft aber nicht.