Mails werden im Internet wie Postkarten verschickt – offen lesbar für jedermann. Selbst wenn der Mail-Abruf vom Server per SSL passiert, erfolgt der eigentliche Transport von Mailserver zu Mailserver vollkommen offen. Mehr Sicherheit bieten verschlüsselte und signierte Mails.

smime-mail-verschluesselung-signaturAlle akutellen iOS-Gerät unterstützen den sicheren Versand per S/MIME (Secure / Multipurpose Internet Mail Extensions). Dazu benötigt man ein X.509-basiertes Zertifikat für den öffentlichen Schlüssel, darüber hinaus benötigt man einen privaten Schlüssel. Liegt beides vor, kann man Mails signieren und verschlüsseln. Die Signatur belegt, dass der Absender wirklich der ist, der er vorgibt zu sein. Die Verschlüsselung macht den eigentlichen Mailtext unlesbar für Dritte. Die  Betreffzeile als auch der Absender- und Empfängername bleiben lesbar.

Ein Zertifikat beim Trustcenter beantragenKostenlose Zertifikate – jeweils mit einem Jahr Gültigkeit – für die private Nutzung gibt es bei so genannten Certification Authorities (CA) wie beispielsweise  Start SSL, Comodo sowie dem TC Trustcenter als so genannte TC Internet ID, die ich in diesem Beispiel verwende, da die Seite auf Deutsch ist.

Anzeige
  • Klickt beim TC Internet ID auf Zertifikat beantragen. Füllt das Formular mit Euren Adressdaten und der gewünschten Mail-Adresse aus. Im nächsten Schritt legt Ihr ein Sperrpasswort für das Zertifikat fest. Außerdem gebt Ihr eine Mail-Adresse oder eine Handy-Nummer an, an die das Login-Passwort für den nächsten Schritt gesendet wird. Ihr müsst noch den Geschäftsbedingungen und der Datenspeicherung zustimmen.
  • Im nächsten Fenster erhaltet Ihr die Antragsübersicht. Gleichzeitig gehen zwei Mails bzw. SMS an Euch mit den Login-Daten zum Erstellen der Schlüssel. Eine Identifikations-Überprüfung Eurer Person findet bei dem kostenlosen Zertifikat nicht statt. Somit ist die Signatur keine zuverlässige Garantie für die Identität des Absenders.
  • Öffnet den Link und gebt die Zugangsdaten aus der Mail bzw. SMS ein. Jetzt wird der öffentliche Schlüssel erstellt. Lasst die Voreinstellung auf High Grade (2048 Bit). Klickt auf Schlüsselerzeugung & Installation. Ist der Schlüssel generiert, klickt Ihr auf Zertifikat installieren.

Zertifikat für das iPhone oder iPad exportieren - als PKCS12-Datei

  • Mac-Nutzer: Der Browser öffnet ein Fenster mit einem Link zum Zertifikat oder die Datei liegt in Eurem festgelegten Download-Ordner und müsste den Namen SelfService.action.p7s tragen. Mit einem Doppelklick importiert Ihr das Zertifikat, es öffnet sich die Schlüsselbundverwaltung. Hier liegt es unter Mein Zertifikateund steht damit allen Programmen, auch dem Mail-Programm, automatisch zur Verfügung.
    Windows-Nutzer: Im Firefox findet Ihr das Zertifikat unter Einstellungen / Erweitert / Verschlüsselung / Zertifikate anzeigen. Dieses Zertifikat könnt Ihr in Euer Mailprogramm importieren. Bei Outlook 2010 findet man den Import einer Digitalen ID unter Datei / Optionen / Sicherheitscenter / Einstellungen für das Sicherheitscenter / E-Mail Sicherheit.
  • Um das Zertifikat auf dem iPhone oder iPad nutzen zu können, muss man es dorthin exportieren. Klickt beim Mac in der Schlüsselbundverwaltung mit der rechten Maustaste auf Euer Zertifikat und dann auf Exportieren. Für die mobilen Geräte muss das Zertifikat in eine PKCS12-Datei umgewandelt werden. Die richtige Dateiendung ist .p12. Ihr müsst der Exportdatei noch ein Password geben. Im Firefox findet Ihr unter Einstellungen / Erweitert / Verschlüsselung / Zertifikate anzeigen die Option Sichern. Verpasst der Datei ein Passwort und wählt bei Dateityp PKCS12.

Für den Export ein sicheres Passwort festlegen. Das Zertifikat auf dem iOS-Gerät akzeptieren.

  • Schickt Euch die .p12-Datei als Mailanhang auf das iPhone oder iPad. Das ist natürlich kein sicherer Weg, doch die Datei ist passwort-geschützt. Tippt auf dem iOS-Gerät auf den Mailanhang, das öffnet die Profilverwaltung. Installiert das Identitätszertifikat, die Warnung, dass es sich um ein unsigniertes Profil handelt, müsst Ihr bestätigen. Jetzt erfolgt die Passwort-Abfrage. Das Profil wird als vertrauenswürdig angezeigt. Tippt auf Fertig.

S/Mime in iOS für Mailkonten aktivieren

  • Vor dem eigentlichen Versand, muss S/MIME für das Mailkonto aktiviert werden. Tippt in den Einstellungen / Mail, Kontakte, Kalender auf den Namen des Mailkontos und weiter unten auf Erweitert. Aktiviert S/MIME. Die Funktionen Signieren und Verschlüsseln werden getrennt von einander aktiviert. Ihr müsst jeweils auf das Zertifikat tippen. Zum Abschluss auf Fertig tippen, damit die Einstellungen übernommen werden.
  • Wenn Ihr nun eine neue Mail mit dieser Absenderadress öffnet, sieht man oben ein Schloß und verschlüsselt.
  • Wenn Ihr eine Mail an jemanden schickt, von dem Ihr das Zertifikat (öffentlicher Schlüssel) besitzt, sind in Mail auf dem Mac zwei Icons auf der rechten Seite zu sehen. Um eine Mail zu verschlüsseln bzw. zu signieren, klickt Ihr auf den entsprechenden Knopf. Auf dem iOS-Gerät steht ein Häkchen in einem gezackten Kreis für eine Signatur und ein blaues Vorhängeschloß für die Verschlüsselung.
  • Erhält man eine Mail, die sich nicht entschlüsseln lässt, sieht man als Anhang nur eine .p7m-Datei, die sich nicht öffnen lässt oder erhält auf dem iPhone eine Fehlermeldung, das ein Profil mit der Verschlüsselungsidentität (Empfängerkonto) erstellt werden muss. Der Absender muss Euch eine signierte, aber unverschlüsselte Mail schicken. Tippt auf seine oder ihre Mailadresse und nehmt das dahinterliegende Zertifikat an. Nun liegt der öffentliche Schlüssel auf Eurem Gerät.

Links: Verschlüsselte Mail, die sich aufgrund des fehlenden Schlüssels nicht öffnen lässt; Rechts: geschafft, signierte und verschlüsselte Mails kommen an

  • Für die Suche nach Zertifikaten (öffentlichen Schlüsseln) von Euch bekannten Empfängeradressen empfiehlt sich Globaltrustpoint. Besitzt der Empfänger ein Zertifikat, könnt Ihr es hier herunterladen.

Der Abruf von Mails mit einem Zertifikat dauert – vor allem im Mobilfunknetz – etwas länger.
Öffentlichen Schlüssel einer Mailadresse herunterladen

5 Kommentare

  1. Danke für die ausführliche Anleitung!

    Ich habe die Schritte exakt so befolgt, allerdings wird mein Zertifikat als ungültig im iPhone angezeigt, nachdem ich es mir gemailt und installiert habe.
    Zusätzlich ist es mir nicht möglich, verschlüsselte e-Mails zu senden. Ich habe es im ersten Schritt mit einer Mail an mich selbst versucht – leider ohne erfolg. Meine eigene Adresse bleibt rot mit geöffnetem Schloss-Symbol, obwohl ich ja meinen eigenen Schlüssel installiert habe. Woran kann das liegen – was mache ich falsch?
    Signieren funktioniert, aber verschlüsseln nicht.

    LG, thowi

  2. Danke für die sehr detaillierte Anleitung! Ich habe die Schritte exakt so durchgeführt. Nach Öffnen und installieren der .p12 Datei auf dem iPhone wurde das Zertifikat immer noch als “nicht vertrauenswürdig” angezeigt.
    Zusätzlich kann ich keine verschlüsselten Mails verschicken. Eigenversuch an mich selbst verschlüsselt zu schicken, hat ebenfalls nicht funktioniert. Signiert wird die Nachricht, nicht aber verschlüsselt.

    Woran kann das liegen? Meinen eigenen Schlüssel habe ich ja schließlich installiert.

  3. Leider funktioniert das zwar in der iOS Mail App, aber wenn man Mails aus anderen Apps versenden will, auch aus Apple Apps (z.B. Fotos), wird S/MIME einfach ignoriert. Das ist echt schlecht umgesetzt von Apple. Damit hat sich iOS für den Einsatz im Unternehmen disqualifiziert.
    Oder kenn jemand eine Lösung für das Problem?

  4. Vielen Dank für den Artikel 🙂

    In iOS 6 scheint es anscheinend Probleme mit der digitalen Signatur, im Zusammenhang mit Google Apps Konten, welche als Exchange- oder Google-Mail-Konto konfiguriert sind, zu geben.
    Es werden nur E-Mails digital signiert, die auch verschlüsselt gesendet werden. Ist die Verschlüsselung nicht aktiv oder nicht möglich (weil der öffentliche Schlüssel des Empfängers nicht bekannt ist), erscheint die E-Mail unsigniert und beinhaltet einen Anhang namens “smime.7s”.
    Wird das Google Apps Konto als IMAP-Konto konfiguriert, funktioniert das Signieren ohne Probleme.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein