[iOS 12] IOS E-Mail entschlüsselung S/MIME

AndreasTR

Golden Delicious
Registriert
03.11.18
Beiträge
11
Hallo Zusammen,

ich bin auf folgendes Problem gestoßen:

Ich habe auf meinem iPhone meinen S/MIME Schlüssel hinterlegt und Signiere mit diesem Schlüssel meine E-Mails.

Sobald ich jemanden eine Signierte E-Mail gesendet habe, kann er die Rückantwort anhand meines Öffentlichen Schlüssels der in der Signatur der E-Mail ersichtlich ist verschlüsseln.

Im Outlook lässt sich diese E-Mail dann ohne Probleme entschlüsseln.
Auf dem iPhone bekomme ich aber folgende Meldung:
"Die Nachricht ist verschlüsselt. Installiere ein Profil mit deiner Verschlüsselungsidentität, um diese Nachricht zu entschlüsseln."

Da dem iPhone mein S/MIME Schlüssel ja schon bekannt ist und damit erfolgreich Signiert verstehe ich leider die Meldung von Apple nicht.

Hat hier jemand eine Idee wie ich das lösen kann?
Danke!
 

Ijon Tichy

Schöner von Bath
Registriert
21.11.06
Beiträge
3.680
Es gibt leider viele mögliche Ursachen...

Hast du die Mail-App mal beendet und neu gestartet?

Stimmen E-Mail von Empfänger und Zertifikat überein?

Ist das Zertifikat fürs Verschlüsseln zugelassen?
 

AndreasTR

Golden Delicious
Registriert
03.11.18
Beiträge
11
Danke für die schnelle Antwort:

Natürlich habe ich die Mail-App mal beendet und neugestartet. Sogar das Gerät beendet und in der zwischenzeit IOS12 installiert.
Hatte das Problem schon unter IOS11 und habe gehofft das es bei IOS12 gelöst ist!

E-Mail Adresse von Empfänger stimmt mit der E-Mail Adresse im Zertifikat überein.

Ja ist es! Entschlüsseln im Outlook klappt!

Danke!
 

Ijon Tichy

Schöner von Bath
Registriert
21.11.06
Beiträge
3.680
Kannst du mal Screenshots posten von den installierten Profilen (Einstellungen > Allgemein > Profile)? Incl. Details von deinem S/MIME-Zertifikat?
 

AndreasTR

Golden Delicious
Registriert
03.11.18
Beiträge
11
Hallo,

hier die Screenshots vom iPhone. Brauchst du noch etwas?

IMG_5131.PNG IMG_5131.PNG IMG_5133.PNG IMG_5134.PNG IMG_5135.PNG IMG_5136.PNG IMG_5137.PNG IMG_5138.PNG IMG_5139.PNG IMG_5140.PNG
 

Ijon Tichy

Schöner von Bath
Registriert
21.11.06
Beiträge
3.680
Sorry , kann da kein Problem sehen...

Unter Passwörter & Accounts und dort unter Erweitert ist bei S/MIME für sowohl Signieren als auch Verschlüsseln das Zertifikat eingestellt?
 

AndreasTR

Golden Delicious
Registriert
03.11.18
Beiträge
11
ja, ist alles aktiviert!

Danke, ich such mal weiter. Wenn ich eine Lösung finde lass ich es dich wissen.
 

Ijon Tichy

Schöner von Bath
Registriert
21.11.06
Beiträge
3.680
Notnagel:

Profil entfernen, Zertifikat neu aufspielen, neu einstellen, Mail neu starten.

Hat bei mir schon mal geholfen, ist also nicht ganz abwegig.
 

AndreasTR

Golden Delicious
Registriert
03.11.18
Beiträge
11
Hey,

leider hält der Notnagel auch nicht in der Wand der problemlösungen. Ich habe das ganze bestimmt schon 3 oder 4 mal neu eingerichtet weil ich gedacht habe ich wäre zu blöd dafür!
 

Ijon Tichy

Schöner von Bath
Registriert
21.11.06
Beiträge
3.680
Mir ist noch was eingefallen. Ich hatte auch mal das Problem, dass E-Mails auf dem iPhone nicht entschlüsselt werden konnten, sonst aber überall. Damals lag es letztendlich am verwendeten Verschlüsselungsalgorithmus. Unter iOS wurde bei einem Versionswechsel eingeführt, dass schwache Verschlüsselungsalgorithmen nicht mehr unterstützt wurden – mit genau dem Effekt, dass E-Mails, die schwach verschlüsselt waren, nicht mehr entschlüsselt wurden.

Ich glaube, das war in iOS 10, und da wurde RC4 nicht mehr unterstützt. Für iOS 12 sind die Änderungen auf https://developer.apple.com/security/ beschrieben. Für iOS 11 habe ich es nicht auf Anhieb gefunden.

Die verwendete Verschlüsselung kann man mit openssl herausfinden. Dazu die E-Mail als eml-Datei speichern und im Terminal dann mittels openssl analysieren:

openssl smime -pk7out -in email.eml | openssl asn1parse

Bei Offset 511 kommen Infos zur verschlüsselten Nachricht (pkcs7-data), im ersten OBJECT der darauf folgenden SEQUENCE bei Offset 524 findet man die Angabe des verwendeten Verschlüsselungsalgorithmus.

Du kannst auch mit openssl testweise die Nachricht entschlüsseln (privates Zertifikat des Empfängers in recipient.pem):

openssl smime -decrypt -in email.eml -recip recipient.pem

Liegt das Zertifikat nicht im PEM-Format vor, sondern im PKCS12-Format, dann kann man es wie folgt konvertieren:

openssl pkcs12 -in recipient.p12 -out recipient.pem


Nachtrag

Es könnte auch mit dem Signieralgorithmus für das Zertifikat zusammenhängen. Auch da werden manche nicht mehr unterstützt.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: ottomane