Tobias Scheible Cyber Security & IT-Forensik Dozent
E-Mails S/MIME Verschlüsselung

E-Mail-Verschlüsselung mit S/MIME

Durch die NSA-Enthüllung hat das Thema Verschlüsslung und Signierung von E-Mails endlich den notwendigen Aufwind bekommen und wird deshalb auch immer häufiger von nicht IT-Spezialisten eingesetzt. In diesem Tutorial erkläre ich, wie ein S/MIME Zertifikat bei einer Zertifizierungsstelle beantragt wird und wie es in Outlook importiert und angewendet wird.

Freitag, 03. Januar 2014
6 Kommentare
Cyber Security
Verschlüsselung, E-Mail, S/MIME, Signatur, Trust Center, Zertifikat

S/MIME steht für „Secure / Multipurpose Internet Mail Extensions“ und ist ein Standard für die Verschlüsselung und Signierung von E-Mails mit einem hybriden Verschlüsselungssystem. Neben dem S/MIME-Verfahren findet noch das OpenPGP-Verfahren größere Anwendung bei der Verschlüsselung von E-Mails. Sie funktionieren beide nach ähnlichen Verfahren, sind aber nicht kompatibel. Da S/MIME bereits von vielen E-Mail Programmen unterstützt wird, stelle ich hier dieses Verfahren vor.

Funktionsweise

Mit S/MIME kann relativ einfach die E-Mail-Kommunikation absichert werden. Alles, was dafür benötigt wird, ist eine Kombination aus einem privaten und einem öffentlichen Schlüssel mit einem Zertifikat. Dahinter steckt ein mathematisches Verfahren bzw. ein asymmetrisches Kryptosystem, dies wird auch als Public-/Private-Key-Verfahren bezeichnet. Mit dem Zertifikat wird über eine Zertifizierungsstelle die Identität eines Benutzers nachgewiesen. Eine E-Mail kann damit sowohl signiert, verschlüsselt oder signiert und verschlüsselt werden.

Signierung

Durch das Signieren per S/MIME kann der Empfänger sicher sein, dass die E-Mail tatsächlich vom Absender stammt und dass die Nachricht bei der Übertragung nicht manipuliert worden ist. Eine Signatur besteht im Allgemeinen aus dem Zertifikat des Absenders inklusive Zertifikatskette, dem Signaturalgorithmus und dem verschlüsselten Hash-Wert. Der Hash-Wert repräsentiert den Inhalt der E-Mail mit einer eindeutigen Zeichenkette, der durch einen Algorithmus generiert worden ist.

Die E-Mail liegt auch weiterhin noch im Klartext vor. Was den Vorteil hat, dass E-Mail Programme ohne S/MIME Unterstützung die E-Mails auch weiterhin noch anzeigen können. Sie zeigen die E-Mail wie gewöhnlich an, mit der Signatur-Datei im p7s-Format als Anhang. Es gibt noch ein weiteres Verfahren, die Opak-Signatur. Hier wird die komplette E-Mail als signierter Anhang gespeichert und kann dadurch nicht mehr von Programmen ohne S/MIME gelesen werden. Dieses Verfahren findet aber nur selten Verwendung.

Signierte E-Mails werden automatisch von der E-Mail-Anwendung überprüft und entsprechend mit einem Icon markiert. Mit einem Klick auf das Icon werden weitere Details eingeblendet.

Verschlüsselung

Um eine E-Mail verschlüsseln zu können, wird der öffentliche Schlüssel des Empfängers benötigt. Dieser wird automatisch übertragen, sobald eine signierte E-Mail empfangen wird. S/MIME verschlüsselt dann mit einem Hybridverfahren die Nachricht. Eine E-Mail enthält den symmetrisch verschlüsselten Inhalt und den asymmetrisch verschlüsselten Schlüssel. Das bedeutet, dass der einmalig gültige Schlüssel mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wird. Dieser kann den Schlüssel mit seinem privaten Schlüssel entschlüsseln und so die komplette Nachricht entschlüsseln.

Anwendung von S/MIME

Um nun E-Mails per S/MIME zu signieren und zu verschlüsseln, wird zuerst ein Zertifikat benötigt.

Erstellung eines Zertifikates

Bei S/MIME geben zentrale Zertifizierungsstellen, die Certificate Authorities (CA), nach einer Kontrolle der Benutzerdaten ein Zertifikat aus. Das Format der S/MIME-Zertifikate ist im ITU-Standard X.509v3 definiert und diese werden daher häufig auch als X.509 Zertifikate bezeichnet. Die CA beglaubigt nach einer Prüfung die Schlüssel des Kunden und stellt ihm als Beleg ein digitales Zertifikat aus. Dieses muss anschließend im Betriebssystem oder E-Mail- Programm importiert werden.

Die Zertifikate werden in vier unterschiedlichen Klassen angeboten. Sie unterscheiden sich im Umfang der Überprüfung der Daten und damit in der Vertrauenswürdigkeit, die einem Zertifikat entgegengebracht werden kann. Bei Klasse-1-Zertifikaten wird die Anschrift einer Plausibilitätsprüfung unterzogen und getestet, ob der Antragsteller Zugriff auf die angegebene E-Mail-Adresse hat. Diese werden zum Teil auch kostenlos angeboten. Bei der 2. Klasse werden der Namen und die Firma im Zertifikat mit aufgenommen und mit einer Ausweiskopie verifiziert. Bei Klasse-3-Zertifikaten erfolgt eine persönliche Authentifizierung über das Postident-Verfahren. Bei der 4. Klasse muss die Authentifizierung persönlich vor Ort erfolgen, sie findet durch den hohen Aufwand und den Kosten keine konkrete Anwendung.

Screenshot der Start Commercial Limited Website
Screenshot der Website von StartCom Ltd. – Anbieter eines kostenlosen S/MIME-Zertifikats
Screenshot der Start Commercial Limited Website Screenshot der Website von StartCom Ltd. – Anbieter eines kostenlosen S/MIME-Zertifikats

Die Firma StartCom Ltd. (Start Commercial Limited) bietet das kostenlose Klasse-1-Zertifikat „StartSSL Free“ an, welches ein Jahr gültig ist. Um ein Zertifikat zu erhalten, muss man angemeldet sein. Dazu klickt man rechts oben auf das Icon mit den Schlüsseln. Nach der erfolgreichen Registrierung muss ein Bestätigungscode eingeben werden, welcher parallel per E-Mail versendet wird. Anschließend muss die Stärke des privaten Schlüssels ausgewählt werden. Am besten wählt man „2048 (High Grade)“. Danach wird mit einem Klick auf „Continue“ und im nächsten Dialog auf „Install“ das Zertifikat im Web-Browser bzw. Betriebssystem installiert.

Screenshot der Google Chrome Einstellungen
Erweiterte Einstellungen in Google Chrome
Screenshot der Google Chrome Einstellungen Erweiterte Einstellungen in Google Chrome

Um das Zertifikat in Outlook zu verwenden, muss es zunächst exportiert werden. Für die Registrierung habe ich Google Chrome verwendet, daher bezieht sich die Anleitung auf diesen Web-Browser. Rechts oben das Menü „Einstellungen“ auswählen und anschließend ganz unten auf „Erweiterte Einstellungen anzeigen“ klicken. Nun wählt man unterhalb von „HTTP/SSL“ „Zertifikate verwalten …“ aus. Hier wird das neue Zertifikat angezeigt, man muss es auswählen und auf „Exportieren …“ klicken. Im nachfolgenden Assistenten auf „Weiter“ klicken und die Option „Ja, privaten Schlüssel exportieren“ auswählen. Im nächsten Dialog noch „Alle erweiterten Eigenschaften exportieren“ auswählen und ein Passwort vergeben. Im letzten Dialog muss noch ein Pfad für den Speicherort angegeben werden und mit „Weiter“ gelangt man zum letzten Dialog, den man mit „Fertig stellen“ beendet.

Screenshot des Export-Assistenten
Assistent zum exportieren des neu generiertem S/MIME Zertifikat
Screenshot des S/MIME Export-Assistenten Assistent zum exportieren des neu generiertem S/MIME Zertifikat

Konfiguration von Outlook

Um nun das Zertifikat in Outlook zu importieren, klickt man links oben auf „Datei“, dann auf „Optionen“ und wählt links unten „Trust Center“ aus und klickt danach auf „Einstellungen für das Trust Center …“. Im folgenden Fenster wählt man nun „E-Mail-Sicherheit“ aus. Im Abschnitt „Digitale IDs (Zertifikate)“ wählt man nun „Importieren/Exportieren…“ aus. Dort muss man die exportierte Zertifikatsdatei auswählen und das vorhin vergebene Passwort eingeben und den Import bestätigen.

Screenshot des Outlook S/MIME Import
Import des S/MIME Zertifikat in Outlook
Screenshot des Outlook S/MIME Import Import des S/MIME Zertifikat in Outlook

Nun wählt man die Optionen „Ausgehenden Nachrichten digitale Signatur hinzufügen“ und „Signierte Nachrichten als Klartext senden“ aus und klickt auf den Button „Einstellungen“. Um einen möglichst hohen Sicherheitsstandard zu erreichen, wählt man nun bei „Hashalgorithmus“ die Option „SHA512“ und bei „Verschlüsselungsalgorithmus“ die Option „AES (256-bit)“ aus.

Screenshot der S/MIME-Einstellungen in Outlook
Konfiguration der S/MIME-Einstellungen in Outlook
Screenshot der S/MIME-Einstellungen in Outlook Konfiguration der S/MIME-Einstellungen in Outlook

Nun hat man die S/MIME-Einstellungen erfolgreich konfiguriert und kann beim Erstellen einer E-Mail unter „Optionen“ auswählen, ob die Mail per S/MIME verschlüsselt oder signiert werden soll.

Screenshot der S/MIME-Bestätigung in Outlook
S/MIME-Bestätigung in Outlook vor dem Sendevorgang
Screenshot der S/MIME-Bestätigung in Outlook S/MIME-Bestätigung in Outlook vor dem Sendevorgang

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

t3n Zetischrift Nr. 34 im Überblick - Magazin für Webworker › scheible.it - Tobias Scheible am 7. Januar 2014 um 20:36 Uhr

[…] E-Mails verschlüsselt und signiert werden können. Ich beschäftige mich zur Zeit auch mit der S/MIME-Verschlüsselung. Dazu werde ich in den nächsten Tagen auch einen Blog-Beitrag veröffentlichen. Passend dazu – […]

E-Mail-Verschlüsselung mit S/MIME | Danky's Wiki am 15. Mai 2014 um 17:24 Uhr

[…] Quelle: Cyber Security Blog […]

VDI Cyber Security Workshop - Präsentation & Links › Cyber Security Blog am 25. Mai 2014 um 20:22 Uhr

[…] Security + Blog: E-Mail-Verschlüsselung mit S/MIME + […]

itslot admin am 3. Juli 2014 um 10:49 Uhr

Sehr detaillierte Anleitung! Dafür vielen Dank.

Wie meinen Sie, was funktioniert stabiler OpenPGP oder S/MIME ? (im Bezug auf Cklient-Unterstützung)

itslot admin am 7. Juli 2014 um 13:28 Uhr

P.s. Hintergrund, warum ich diese Frage gestellt habe:

Ich habe OpenPGP in mehreren Outlook Versionen getestet und nur in einigen Versionen lief es stabil. Hat SMIME auch ähnliche Probleme mit der Kompatibilität von Clients oder ist es viel stabiler als OpenPGP?

Danke

digitale signatur erstellen am 8. Februar 2015 um 15:43 Uhr

Phantastische Blog ! Ich bin so glücklich, Ihre Seite zu finden. Ich habe den Begriff geschätzt, den Sie hier postiert haben. Danke für Aufteilung!

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.