Cyber Security Center

Kompetenzzentrum für Informationssicherheit
E-Mails S/MIME Verschlüsselung

E-Mail-Verschlüsselung mit S/MIME

Durch die NSA-Enthüllung hat das Thema Verschlüsslung und Signierung von E-Mails endlich den notwendigen Aufwind bekommen und wird deshalb auch immer häufiger von nicht IT-Spezialisten eingesetzt. In diesem Tutorial erkläre ich, wie ein S/MIME Zertifikat bei einer Zertifizierungsstelle beantragt wird und wie es in Outlook importiert und angewendet wird.

S/MIME steht für „Secure / Multipurpose Internet Mail Extensions“ und ist ein Standard für die Verschlüsselung und Signierung von E-Mails mit einem hybriden Verschlüsselungssystem. Neben dem S/MIME-Verfahren findet noch das OpenPGP-Verfahren größere Anwendung bei der Verschlüsselung von E-Mails. Sie funktionieren beide nach ähnlichen Verfahren, sind aber nicht kompatibel. Da S/MIME bereits von vielen E-Mail Programmen unterstützt wird, stelle ich hier dieses Verfahren vor.

Funktionsweise

Mit S/MIME kann relativ einfach die E-Mail-Kommunikation absichert werden. Alles, was dafür benötigt wird, ist eine Kombination aus einem privaten und einem öffentlichen Schlüssel mit einem Zertifikat. Dahinter steckt ein mathematisches Verfahren bzw. ein asymmetrisches Kryptosystem, dies wird auch als Public-/Private-Key-Verfahren bezeichnet. Mit dem Zertifikat wird über eine Zertifizierungsstelle die Identität eines Benutzers nachgewiesen. Eine E-Mail kann damit sowohl signiert, verschlüsselt oder signiert und verschlüsselt werden.

Signierung

Durch das Signieren per S/MIME kann der Empfänger sicher sein, dass die E-Mail tatsächlich vom Absender stammt und dass die Nachricht bei der Übertragung nicht manipuliert worden ist. Eine Signatur besteht im Allgemeinen aus dem Zertifikat des Absenders inklusive Zertifikatskette, dem Signaturalgorithmus und dem verschlüsselten Hash-Wert. Der Hash-Wert repräsentiert den Inhalt der E-Mail mit einer eindeutigen Zeichenkette, der durch einen Algorithmus generiert worden ist.

Die E-Mail liegt auch weiterhin noch im Klartext vor. Was den Vorteil hat, dass E-Mail Programme ohne S/MIME Unterstützung die E-Mails auch weiterhin noch anzeigen können. Sie zeigen die E-Mail wie gewöhnlich an, mit der Signatur-Datei im p7s-Format als Anhang. Es gibt noch ein weiteres Verfahren, die Opak-Signatur. Hier wird die komplette E-Mail als signierter Anhang gespeichert und kann dadurch nicht mehr von Programmen ohne S/MIME gelesen werden. Dieses Verfahren findet aber nur selten Verwendung.

Signierte E-Mails werden automatisch von der E-Mail-Anwendung überprüft und entsprechend mit einem Icon markiert. Mit einem Klick auf das Icon werden weitere Details eingeblendet.

Verschlüsselung

Um eine E-Mail verschlüsseln zu können, wird der öffentliche Schlüssel des Empfängers benötigt. Dieser wird automatisch übertragen, sobald eine signierte E-Mail empfangen wird. S/MIME verschlüsselt dann mit einem Hybridverfahren die Nachricht. Eine E-Mail enthält den symmetrisch verschlüsselten Inhalt und den asymmetrisch verschlüsselten Schlüssel. Das bedeutet, dass der einmalig gültige Schlüssel mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wird. Dieser kann den Schlüssel mit seinem privaten Schlüssel entschlüsseln und so die komplette Nachricht entschlüsseln.

Anwendung von S/MIME

Um nun E-Mails per S/MIME zu signieren und zu verschlüsseln, wird zuerst ein Zertifikat benötigt.

Erstellung eines Zertifikates

Bei S/MIME geben zentrale Zertifizierungsstellen, die Certificate Authorities (CA), nach einer Kontrolle der Benutzerdaten ein Zertifikat aus. Das Format der S/MIME-Zertifikate ist im ITU-Standard X.509v3 definiert und diese werden daher häufig auch als X.509 Zertifikate bezeichnet. Die CA beglaubigt nach einer Prüfung die Schlüssel des Kunden und stellt ihm als Beleg ein digitales Zertifikat aus. Dieses muss anschließend im Betriebssystem oder E-Mail- Programm importiert werden.

Die Zertifikate werden in vier unterschiedlichen Klassen angeboten. Sie unterscheiden sich im Umfang der Überprüfung der Daten und damit in der Vertrauenswürdigkeit, die einem Zertifikat entgegengebracht werden kann. Bei Klasse-1-Zertifikaten wird die Anschrift einer Plausibilitätsprüfung unterzogen und getestet, ob der Antragsteller Zugriff auf die angegebene E-Mail-Adresse hat. Diese werden zum Teil auch kostenlos angeboten. Bei der 2. Klasse werden der Namen und die Firma im Zertifikat mit aufgenommen und mit einer Ausweiskopie verifiziert. Bei Klasse-3-Zertifikaten erfolgt eine persönliche Authentifizierung über das Postident-Verfahren. Bei der 4. Klasse muss die Authentifizierung persönlich vor Ort erfolgen, sie findet durch den hohen Aufwand und den Kosten keine konkrete Anwendung.

Screenshot der Start Commercial Limited Website
Screenshot der Website von StartCom Ltd. – Anbieter eines kostenlosen S/MIME-Zertifikats
Screenshot der Start Commercial Limited Website Screenshot der Website von StartCom Ltd. – Anbieter eines kostenlosen S/MIME-Zertifikats

Die Firma StartCom Ltd. (Start Commercial Limited) bietet das kostenlose Klasse-1-Zertifikat „StartSSL Free“ an, welches ein Jahr gültig ist. Um ein Zertifikat zu erhalten, muss man angemeldet sein. Dazu klickt man rechts oben auf das Icon mit den Schlüsseln. Nach der erfolgreichen Registrierung muss ein Bestätigungscode eingeben werden, welcher parallel per E-Mail versendet wird. Anschließend muss die Stärke des privaten Schlüssels ausgewählt werden. Am besten wählt man „2048 (High Grade)“. Danach wird mit einem Klick auf „Continue“ und im nächsten Dialog auf „Install“ das Zertifikat im Web-Browser bzw. Betriebssystem installiert.

Screenshot der Google Chrome Einstellungen
Erweiterte Einstellungen in Google Chrome
Screenshot der Google Chrome Einstellungen Erweiterte Einstellungen in Google Chrome

Um das Zertifikat in Outlook zu verwenden, muss es zunächst exportiert werden. Für die Registrierung habe ich Google Chrome verwendet, daher bezieht sich die Anleitung auf diesen Web-Browser. Rechts oben das Menü „Einstellungen“ auswählen und anschließend ganz unten auf „Erweiterte Einstellungen anzeigen“ klicken. Nun wählt man unterhalb von „HTTP/SSL“ „Zertifikate verwalten …“ aus. Hier wird das neue Zertifikat angezeigt, man muss es auswählen und auf „Exportieren …“ klicken. Im nachfolgenden Assistenten auf „Weiter“ klicken und die Option „Ja, privaten Schlüssel exportieren“ auswählen. Im nächsten Dialog noch „Alle erweiterten Eigenschaften exportieren“ auswählen und ein Passwort vergeben. Im letzten Dialog muss noch ein Pfad für den Speicherort angegeben werden und mit „Weiter“ gelangt man zum letzten Dialog, den man mit „Fertig stellen“ beendet.

Screenshot des Export-Assistenten
Assistent zum exportieren des neu generiertem S/MIME Zertifikat
Screenshot des S/MIME Export-Assistenten Assistent zum exportieren des neu generiertem S/MIME Zertifikat

Konfiguration von Outlook

Um nun das Zertifikat in Outlook zu importieren, klickt man links oben auf „Datei“, dann auf „Optionen“ und wählt links unten „Trust Center“ aus und klickt danach auf „Einstellungen für das Trust Center …“. Im folgenden Fenster wählt man nun „E-Mail-Sicherheit“ aus. Im Abschnitt „Digitale IDs (Zertifikate)“ wählt man nun „Importieren/Exportieren…“ aus. Dort muss man die exportierte Zertifikatsdatei auswählen und das vorhin vergebene Passwort eingeben und den Import bestätigen.

Screenshot des Outlook S/MIME Import
Import des S/MIME Zertifikat in Outlook
Screenshot des Outlook S/MIME Import Import des S/MIME Zertifikat in Outlook

Nun wählt man die Optionen „Ausgehenden Nachrichten digitale Signatur hinzufügen“ und „Signierte Nachrichten als Klartext senden“ aus und klickt auf den Button „Einstellungen“. Um einen möglichst hohen Sicherheitsstandard zu erreichen, wählt man nun bei „Hashalgorithmus“ die Option „SHA512“ und bei „Verschlüsselungsalgorithmus“ die Option „AES (256-bit)“ aus.

Screenshot der S/MIME-Einstellungen in Outlook
Konfiguration der S/MIME-Einstellungen in Outlook
Screenshot der S/MIME-Einstellungen in Outlook Konfiguration der S/MIME-Einstellungen in Outlook

Nun hat man die S/MIME-Einstellungen erfolgreich konfiguriert und kann beim Erstellen einer E-Mail unter „Optionen“ auswählen, ob die Mail per S/MIME verschlüsselt oder signiert werden soll.

Screenshot der S/MIME-Bestätigung in Outlook
S/MIME-Bestätigung in Outlook vor dem Sendevorgang
Screenshot der S/MIME-Bestätigung in Outlook S/MIME-Bestätigung in Outlook vor dem Sendevorgang

Über den Autor

Autor Tobias Scheible

M.ENG. Tobias Scheible ist als wissenschaftlicher Mitarbeiter an der Hochschule Albstadt-Sigmaringen am Institut für Wissenschaftliche Weiterbildung tätig. Er arbeitet dort als Modulentwickler im Masterstudiengang Digitale Forensik und entwickelt Materialien zu den Bereichen Betriebssystemforensik und Internettechnologien. Im Studiengang IT Security leitet er Praktika rund um das Thema Informationssicherheit. Darüber hinaus ist er Mitinitiator des Kompetenzzentrums Cyber Security Lab, welches Forschungsprojekte auf dem Gebiet der IT-Sicherheit koordiniert. Außerdem organisiert er im Rahmen des VDI Programms Workshops zu aktuellen Themen und Trends der IT-Sicherheit.

Cyber Security Lab Newsletter

Sicheren Sie sich Ihren Wissensvorsprung! Bleibe Sie immer up-to-date - Aktivitäten, Veranstaltungen, ...

Kommentare

t3n Zetischrift Nr. 34 im Überblick - Magazin für Webworker › scheible.it - Tobias Scheible

[…] E-Mails verschlüsselt und signiert werden können. Ich beschäftige mich zur Zeit auch mit der S/MIME-Verschlüsselung. Dazu werde ich in den nächsten Tagen auch einen Blog-Beitrag veröffentlichen. Passend dazu – […]

E-Mail-Verschlüsselung mit S/MIME | Danky's Wiki

[…] Quelle: Cyber Security Blog […]

VDI Cyber Security Workshop - Präsentation & Links › Cyber Security Blog

[…] Security + Blog: E-Mail-Verschlüsselung mit S/MIME + […]

itslot admin

Sehr detaillierte Anleitung! Dafür vielen Dank.

Wie meinen Sie, was funktioniert stabiler OpenPGP oder S/MIME ? (im Bezug auf Cklient-Unterstützung)

itslot admin

P.s. Hintergrund, warum ich diese Frage gestellt habe:

Ich habe OpenPGP in mehreren Outlook Versionen getestet und nur in einigen Versionen lief es stabil. Hat SMIME auch ähnliche Probleme mit der Kompatibilität von Clients oder ist es viel stabiler als OpenPGP?

Danke

digitale signatur erstellen

Phantastische Blog ! Ich bin so glücklich, Ihre Seite zu finden. Ich habe den Begriff geschätzt, den Sie hier postiert haben. Danke für Aufteilung!

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>


Fatal error: Call to undefined function show_subscription_checkbox() in /kunden/463182_72488/webseiten/cyber-security-center.de/wp-content/themes/csl/comments.php on line 71