Ich hatte es schon länger mal vor, bin aber nie richtig dazu gekommen mich dort einzuarbeiten. Für die Hochschule stand allerdings eine Semesterarbeit über Internetsicherheit an, indem ich den Bereich der Zertifikate in Angriff nahm und habe es direkt einmal umgesetzt.

Es ist ein wichtiges Thema und es sollten wirklich mehr Menschen nutzen, zumal es doch so einfach ist! Hier will ich also erklären, wie man sich ein Zertifikat einrichten kann mit Apple Mail und einem Google Mail Account (geht natürlich auch noch mit anderen).

Funktionsweise eines E-Mail-Zertifikats

Dieses Zertifikat ist ein Dokument, welches ein zusammengehöriges Schlüsselpaar enthält — den öffentlichen Schlüssel und den privaten Schlüssel. Sie ermöglichen es, dass der E-Mail-Verkehr signiert bzw. sogar (bei Bedarf) verschlüsselt werden kann. Eine Fallenfunktion sorgt dafür, dass man nur in eine Richtung (das verschlüsseln) schnell rechnen kann und in die andere Richtung extrem lange Zeit braucht (Jahre, Jahrzehnte,…).
Diese Schlüssel leben nun in einer solchen Symbiose, dass man mit dem öffentlichen Schlüssel (des Empfängers) etwas verschlüsseln kann (als Sender) und nur mit dem zugehörigen privaten Schlüssel (des Empfängers) diese Nachricht wieder in Klartext wandeln kann.

Nutzen auch wenn die Gegenstelle kein Zertifikat hat

Auch wenn die Gegenstelle (noch) kein Zertifikat besitzt, hat dieser auch schon einen Nutzen. Zwar kann man die E-Mail nicht verschlüsseln, weil er kein Zertifikat hat, aber er kann mit dem richtigen E-Mail-Programm die Signatur der E-Mail prüfen ob diese unverändert zu ihm gekommen ist. Da der Sender sein öffentlichen Schlüssel mitschickt, kann in Zukunft auch immer nachgewiesen werden, dass es definitv von ihm stammt und eben unverändert ist.
Programme wie Apple Mail, Thunderbird oder Outlook zeigen also direkt an, ob diese E-Mail erfolgreich signiert wurde und eine gültige Signatur besitzt — unabhängig davon, ob der Empfänger ein Zertifikat besitzt oder nicht. Leider unterstützen Webinterfaces wie Gmail noch keine Zertifikatsprüfung.

Nutzen wenn die Gegenstelle ein Zertifikat hat

Zusätzlich zur Prüfung der Signatur kann hier nun auch die E-Mail komfortabel verschlüsselt werden. Der Sender muss nur den öffentlichen Schlüssel seines Empfängers besitzen, dann kann die Nachricht mit Hilfe dieses Schlüssels verschlüsselt werden. Und wie oben genannt, wird dieser bei jeder signierten Mail mitgeschickt.
Mit dem jeweiligen privaten Schlüssel (den dann jeder auf seinem Rechner bunkert) kann nun die Nachricht “entschlüsselt” werden.

Zertifikat besorgen

Ich habe mir ein Zertifikat bei trustcenter geholt, welches ein Jahr lang gültig ist. Das ist kostenfrei und diese Zertifizierungsstelle ist von der Bundesnetzagentur offiziell akkreditiert.
Das ist schnell und einfach besorgt. Natürlich ist bei diesem Zertifikat das Vertrauen nicht so hoch wie es bei anderen (teureren) Zertifikaten der Fall ist. Als Class 1 Zertifikat, beweist es nur, dass man der Besitzer der jeweiligen E-Mail-Adresse ist. Aber 100 mal besser als keines!
Am besten mit Safari das Zertifikat holen, weil dann wird es direkt systemweit gespeichert (im Mac OS X Schlüsselbund). Wer Firefox oder Opera benutzt muss aufpassen, da diese nicht auf die systemweiten Zertifikate zurückgreifen! Das Zertifikat wird mittels Java-Script lokal erzeugt, weil der private Schlüssel darf niemals nach außen treten, sonst ist das ganze nicht mehr wirklich sicher — verständlich.

Nachdem ihr übrigens erfolgreich das Zertifikat erstellt habt, sollte es im Schlüsselbund auftauchen.

Apple Mail einrichten

Ich habe ein Google Mail Account, dies funktioniert auch mit jedem anderen IMAP oder POP3 Anbieter, allerdings erkläre ich hier nochmals wie man Apple Mail für GMail einrichtet. Das beinhaltet doch einige Tücken.

Vorbereitung: Google Mail richtig in Apple Mail einrichten

Google selbst gibt eine recht gute Beschreibung, wie man seinen E-Mail-Client einrichten kann (zu finden in GMail selbst). Zusammen mit diesen Bildern sollte man kein Problem haben mit dem IMAP-aktivierten GMail-Account zu kommunizieren.

Persönliches Anliegen:

Bitte immer alle Mails als Plain-Text verschicken, das ist quasi ein ungeschriebenes Gesetz — zumindest falls man einigermaßen professionell wirken möchte. Es gibt Ausnahmen, wo auch html-Mails angebracht sind.

Vorgehen: Signierung

Was geschieht bei der Signierung?: Der Sender bildet mit Hilfe seines privaten Zertifikatsschlüssels eine Signatur und hängt diese zusammen mit dem öffentlichen Zertifikatsschlüssel an die E-Mail an. Jetzt kann der Empfänger gegenprüfen, ob diese Nachricht unverändert bei ihm angekommen ist und ob sein Zertifikat gültig ist. Das Zertifikat ist ja über das Wurzelzertifikat der Zertifizierungsstelle gültig gemacht worden — wenn dort irgendetwas nicht stimmt (z.B. Betrüger etc.) findet man das somit recht schnell heraus.

Wenn beide Seiten ein Zertifikat besitzen und jeweils die öffentlichen Schlüssel bekannt sind, kann man auch verschlüsselt übertragen. Das geschickte ist, dass ja die öffentlichen Schlüssel mitgeliefert werden bei der E-Mail und Apple Mail legt diese in den Schlüsselbund ab, also kann die nächste E-Mail automatisch verschlüsselt übertragen werden. Ohne viel Aufwand.
Mein Gesprächspartner schickt mir also eine E-Mail mit seinem öffentlichen Schlüssel und ich kann ihm schon verschlüsselt zurückschreiben, und nachdem er meine Mail erhalten hat, kann er mit meinem öffentlichen Schlüssel wieder verschlüsseln. Wenn Du mehr darüber erfahren willst, lege ich dir meine Facharbeit (asymmetrische Verschlüsselung) ans Herz. Apple Mail macht uns das aber so einfach, dass wir fast gar nichts davon merken, wenn wir es einmal eingerichtet haben.

Beim Sender

Hier ein kleines Bild, wie das aussieht, quasi nur ein Klick. Mail merkt sich sogar den Klick, also muss man sich quasi nicht mehr darum kümmern, wenn es einmal eingerichtet ist.

Was geschieht beim Empfänger?

Und der Empfänger bekommt zumindest eine signierte Mail, selbst wenn er kein Zertifikat besitzt. Apple Mail und auch viele andere E-Mails-Clients (Thunderbird, Outlook, …) prüfen das Zertifikat! Und wie gesagt, wenn beide Kommunikationspartner ein Zertifikat besitzen können sie sogar verschlüsselt senden und haben damit sogar die E-Mail sicherer vor Dritten gemacht als es ein Brief täte.

Fazit

Ich hoffe, dass dieser Beitrag motivierend war, sich selbst damit auseinanderzusetzen und selbst damit anzufangen und eventuell die Funktionsweise besser zu verstehen. Je mehr Leute es machen, umso besser ist die Sicherheit — man könnte damit sogar den “Spammern” das Leben erheblich schwerer gestalten! E-Mails können damit sicherer werden als normale Briefe, insbesondere wenn der Statt auch noch anfängt Zertifikate gekoppelt mit dem Ausweis auszustellen (Class 4 Zertifikate!) — dann kann man sich einer echten natürlichen Person sicher sein. Wenn noch ein Web Of Trust daran gekoppelt wird, fallen sogar noch Betrüger (die z.B. ihren echten Namen missbrauchen) aus dem Raster und können schnell identifiziert werden.

Der Artikel „E-Mail Zertifikate und Verschlüsselung am Mac“ wurde von Sven verfasst und am 13.05.2011 um 17:46 Uhr unter der Kategorie Allgemein veröffentlicht. Dieser RSS 2.0 Feed informiert über die neusten Kommentare. Über einen Kommentar, oder Trackback würde ich mich freuen.