Der NSA ein Schnippchen schlagen, Teil 2: Komfortable E-Mail-Verschlüsselung mit S/MIME
Wer nicht will, dass Big Brother mitliest, sollte seine E-Mails verschlüsseln. PGP ist hierzu das bekannteste Tool.
Seine Benutzung ist jedoch mit einem gewissen Aufwand verbunden. Diese Usability-Lücke schliesst S/MIME. Wir erklären das praktische Verfahren im zweiten Teil unserer Serie zu digitalen Bürgerwehr.
S/MIME steht für „Secure/Multipurpose Internet Mail Extensions“, also „Sichere/Multifunktionale Internet Mail Erweiterung“. Grundsätzlich sind sie PGP und S/MIME ziemlich ähnlich, wenn auch nicht kompatibel. Der Clou an S/MIME liegt in dem Wörtchen „Erweiterung“. Aber dazu später mehr.[/vc_column_text][vc_message color=“alert-info“ style=“rounded“]Dieser Artikel ist Teil der Serie „Der NSA ein Schnäppchen schlagen“:
Teil 1: E-Mails mit PGP verschlüsseln
Teil 2: Komfortable E-Mail-Verschlüsselung mit S/MIME
Teil 3: E-Mail-Verschlüsselung auf dem Smartphone
So richten Sie S/MIME ein
Genau wie PGP basiert das Verschlüsselungsverfahren auf einem Schlüssel-Schloss-Paar. Dabei ist wiederum das Schloss öffentlich, also zum Weitergeben gedacht, und der Schlüssel privat, zum Entschlüsseln empfangener Nachrichten. An ein Schlüssel-/Schloss-Paar kommt man allerdings nur über ein sogenanntes X.509-Zertifikat, welches man bei einer Zertifizierungsstelle erhält. Was sich zunächst nach viel Bürokratie anhört, ist jedoch in wenigen Minuten erledigt. Zertifizierungsstellen gibt es mehrere, zum Beispiel Comodo, …., oder … . Dort muss man seinen Namen, die E-Mail-Adresse, das Land und die Grösse des Keys angeben. Zur Wahl stehen 512, 1024 oder 2048 Bits.
Die Zertifikate sind in Klassen eingeteilt. Die Klasse 1 gilt für ein Jahr und ist kostenlos. Die Klassen 2 und 3 sind kostenpflichtig und unterscheiden sich von Klasse 1 wie folgt:
Klasse 1:
Es wird nur die Existenz der E-Mail-Adresse geprüft.
Klasse 2:
Es werden neben der E-Mail-Adresse noch der Name sowie ggf. die Firma oder Organisation anhand von Drittdatenbanken und Ausweiskopien geprüft.
Klasse 3:
Hierfür muss man sich persönlich bei der entsprechenden Stelle ausweisen.
Für die meisten Privatnutzer sollte Klasse 1 ausreichen. Denn bereits hiermit ist dem Gegenüber versichert, dass die E-Mail-Adresse echt ist, und auch bei Klasse 3 wird kein anderes Verschlüsselungsverfahren angewendet.
Nach Bestellen des Zertifikats erhält man innerhalb von zwei bis fünf Minuten eine E-Mail. In dieser enthalten ist ein Link, der zum Download einer .p7s-Datei führt. Ein Doppelklick darauf öffnet die Schlüsselbundverwaltung (in Mac OS X ein betriebssystemeigenes Programm), die fragt wo das Zertifikat abgelegt werden soll.
Was danach folgt, ist denkbar einfach: Man öffnet das E-Mail-Programm und öffnet es erneut. Möchte man eine Mail versenden, findet man neben dem grünen Hinweis auf OpenPGP noch einen kleinen Pfeil zur Umstellung auf S/MIME. Die Buttons zum Verschlüsseln und Signieren einer E-Mail unterscheiden sich dabei nicht von denen für PGP. Nach der ersten E-Mail kann man dem Schlüssel sogar dauerhaften Zugang gewähren.
So verwenden Sie S/MIME
Unter Windows muss man einen kleinen Umweg gehen, da das Zertifikat nach Bestellung im Browser erst ex- und dann ins E-Mail-Programm (z.B. Thunderbird) erst importiert werden muss, und zwar unter dem Menüpunkt „S/MIME-Sicherheit“.
Im Dauereinsatz erweist sich S/MIME als wesentlich praktischer als PGP. Zum einen erkennt das E-Mail-Programm selbstständig, wann eine verschlüsselte Nachricht ankommt; man kann dann automatische eine S/MIME-verschlüsselte Mail zurückschreiben. Die ganze Schlüsselbundverwaltung, bei PGP noch manuell, entfällt hier also für den Nutzer. Zum anderen muss man keine Passphrase eingeben, wenn man eine E-Mail verschicken oder öffnen möchte. Sie erscheint stets im Klartext – dass sie echt ist und verschlüsselt ankam, erkennt man an den Icons in der Detailansicht der E-Mail-Kopfzeile.
Was man beachten muss
Mit S/MIME lässt sich nur der Inhalt der E-Mail verschlüsseln. Der Betreff und die Metadaten (also mit wem man wann und wie oft schreibt) bleiben unverschlüsselt. Deshalb sollten sensible Informationen im Fall der Fälle nicht in den Betreff geschrieben werden. Ausserdem muss man sich bewusst sein, dass gerade die Metadaten für die Geheimdienste oft von grösserem Interesse sind.
Fazit
S/MIME ist die benutzerfreundliche Alternative zu PGP. Wer bei PGP noch die Schlüsselbundverwaltung und ständige Passworteingabe als Grund anführte, keine Verschlüsselung zu benutzen, hat hier keine Ausrede mehr. Allerdings löst auch S/MIME nicht das Problem der Metadaten. Hierfür steht allerdings schon die „Dark Mail Alliance“ in den Startlöchern. Die Gründer von Lavabit (Edward Snowdens ehemaligem E-Mail-Dienst) und Silent Circle wollen die „E-Mail 3.0“ etablieren, bei der alles verschlüsselt ist.
Titelbild:© VERSUSstudio – Fotolia
Im nächsten Teil der Serie: E-Mail-Verschlüsselung auf Mobilgeräten