E-Mail-Verschlüsselung und Signaturen mit S/MIME

Wofür kann ich ein S/MIME-Zertifikat verwenden?

Bestimmte Inhalte, die per E-Mail versendet werden, soll nicht jeder lesen können. Dazu gehören bei Amnesty nicht nur alle internen Informationen, sondern unter anderem auch persönliche Daten.

Um diese Daten zu schützen, empfiehlt die FK-Internet, E-Mails zu verschlüsseln. Damit alle Mitglieder und auch das Sekretariat problemlos verschlüsselte E-Mails austauschen können, haben wir uns auf das sog. „S/MIME“-Verfahren geeinigt. S/MIME steht für „Secure / Multipurpose Internet Mail Extensions“.

Wer verschlüsselte E-Mails austauschen will, benötigt dazu ein persönliches S/MIME-Zertifikat. Dieses besteht aus einem öffentlichen und einem privaten Schlüssel. Außerdem enthält das Zertifikat Angaben über die Identität des Zertifikatsinhabers.

Die Verschlüsselung funktioniert so: Wer eine verschlüsselte E-Mail empfangen möchte (Empfänger), muß der Person, die die E-Mail schicken will (Sender), seinen eigenen öffentlichen Schlüssel zukommen lassen. Dies kann z. B. geschehen, indem der Empfänger dem Sender eine E-Mail schickt und diese mit seinem Zertifikat signiert (die Signatur enthält den öffentlichen, nicht aber den privaten Schlüssel).

Der Sender kann dann mit dem öffentlichen Schlüssel des Empfängers und seinem eigenen privaten Schlüssel die E-Mail verschlüsseln. Der Empfänger wiederum kann die E-Mail mit dem öffentlichen Schlüssel des Senders und seinem eigenen privaten Schlüssel entschlüsseln. Das Besondere an diesem Verfahren ist also die Asymmetrie: Zum Ver- und Entschlüsseln genügt jeweils ein öffentlicher und ein privater Schlüssel. Während der öffentliche Schlüssel frei weitergegeben werden kann (und muss, wenn man verschlüsselte E-Mails empfangen können will), darf der private Schlüssel unter keinen Umständen an Dritte weitergegeben werden!

Das eröffnet ein weiteres interessantes Anwendungsfeld. Traut man dem Aussteller des Zertifikats (hier: Amnesty), dass er nur Zertifikate an Personen ausstellt, die er mit ausreichender Sicherheit kennt, dann kann man davon ausgehen, dass die auf dem Zertifikat vermerkte Identität auch wirklich mit dem Zertifikatsempfänger übereinstimmt.

Daher kann man S/MIME-Zertifikate auch zur sog. elektronischen Unterschrift (Signatur) verwenden. Signiert eine Person eine E-Mail mit seinem Zertifikat, und traut man dem Aussteller des Zertifikats, dann kann man einigermaßen sicher sein, dass die E-Mail auch tatsächlich von der Person abgeschickt wurde, die in dem Zertifikat als Inhaber genannt ist.

Wie bekomme ich ein S/MIME-Zertifikat?

Die FK-Internet empfiehlt die Nutzung von CAcert-Zertifikaten. Dabei gibt es 2 Möglichkeiten, an solche Zertifikate zu gelangen:

  • Es gibt die Möglichkeit, sich Zertifikate für Amnesty-E-Mail-Adressen über Amnesty International ausstellen zu lassen, das heißt z. B. für Mailadressen wie hans.mustermann@amnesty-orscholz.de (oder h.mustermann@amnesty-orscholz.de oder mustermann@amnesty-orscholz.de). Um ein solches Zertifikat für die eigene persönliche Amnesty-E-Mail-Adresse zu beantragen, müßt Ihr das Antragsformular im Intranet ausfüllen, das Ihr unter dem vorstehenden Link  bzw. unter Materialien > Intranet > Antrag S/MIME-Zertifikat findet.  Der genaue Ablauf wird hier beschrieben: Zertifikate
  • Für private Mailadressen besteht selbstverständlich die Möglichkeit, sich auch ein privates Mail-Zertifikat über CAcert einzurichten. Dafür muss man sich zunächst bei CAcert registrieren und danach von sog. Assurern bestätigen lassen. Diese Assurer sind Personen, die sich ebenfalls bei CAcert registriert haben, sich ihre Identität bestätigen haben lassen und zudem eine Prüfung abgelegt haben, die belegt, dass sie verstanden haben, wie die Verschlüsselung bei CAcert funktioniert und welche Voraussetzungen man erfüllen muss, um erfolgreich zertifiziert zu werden. CAcert Assurer kann man nach Anmeldung bei CAcert auf der Webseite finden. Sobald man einen Termin mit ihnen ausgemacht hat, muss man zu dem Treffen seinen Personalausweis, Führerschein o. ä. vorlegen, um die eigene Identität zu bestätigen.

Benutzung mit verschiedenen E-Mail-Programmen

Anleitung der FK Internet

Zur Einbindung der Zertifikate in gängige E-Mail-Programme (Outlook, Apple Mail für Mac OS X und iOS, Thunderbird) hat die FK Internet auf der JV 2014 einen Workshop durchgeführt. In diesem wurde Schritt für Schritt erläutert, wie man ein Zertifikat bei Amnesty beantragt, dieses anschließend für die Nutzung mit dem eigenen E-Mail-Programm installiert und für die Verschlüsselung oder Signierung von E-Mails verwendet. Eine kommentierte Version der dabei verwendeten Folien ist hier abrufbar: Anleitung_Zertifikatsnutzung

Anleitungen im Internet

Auch auf den Seiten von CAcert und Drittseiten stehen diverse Anleitungen zur Installation von Zertifikaten in verschiedenen E-Mail-Programmen zur Verfügung, welche auch von Zeit zu Zeit aktualisiert werden. Dieses Anleitungen stehen teils auf deutsch, teils auf englisch zur Verfügung:

Thunderbird
Eine Anleitung (englisch) für Thunderbird findet man hier und (deutsch) hier.

Android
Eine Anleitung (deutsch) für Fortgeschrittene für Android-Geräte findet man hier.

Apple-Geräte
Eine Anleitung für iPod, iPad und iPhone findet man hier.

MacOS X Mail.app, KMail, Evolution, Outlook
Eine Anleitung für weitere Mailprogramme findet sich hier. Speziell für Microsoft Outlook gibt es Anleitungen hier und hier.