Freitag, Juli 12, 2013

Situative S/MIME-Verschlüsselung unter iOS und Thunderbird

Ein X.509-Zertifikat ist ein öffentlicher Schlüssel, der von einer Certification Authority beglaubigt und unterschrieben ist. Ein Zertifikat belegt, dass der Schlüssel wirklich zu derjenigen Person gehört, die in der Benutzerkennung des Schlüssels angegeben ist. Es ist deshalb vergleichbar mit einem elektronischen Ausweis. (Quelle)
Hat man von seiner CA (z. B. dem Arbeitgeber) sein Zertifikat in Form einer .pem-Datei bekommen, lässt sich daraus mit Firefox ein persönliches Zertifikat (.p12-Datei) exportieren.

iOS

Dies kann man sich selber mailen und den Anhang auf dem iPhone oder iPad einfach importieren. Unter "Einstellungen" lässt sich für das entsprechende Mailkonto die Verwendung des Zertifikats als Unterschrift und Verschlüsselung einstellen.
Auf diese Weise wird die Email automatisch unterschrieben. Ist mit dem Mailempfänger ein Schlüssel ausgetauscht, wird die Email auch automatisch verschlüsselt.
Dazu muss zunächst ggf. der Signatur des Senders getraut und anschließend sein Zertifikat installiert werden.
Im Einzelnen wird das hier beschrieben.

Thunderbird

In Thunderbird importiert man zunächst das Zertifikat in den Einstellungen/Erweitert/Zertifikate. Unter "Ihre Zertifikate" erscheint das eigene Zertifikat, unter "Personen" die anderer Mailkontakte.
Nun kann man in jeder Email, die man schreibt, unter dem Menüpunkt "S/MIME" wählen, ob sie unterschrieben und/oder verschlüsselt werden soll. Meist möchte man aber nicht jedes Mal diese Option erst auswählen müssen.
Um die Email jedes Mal zu unterschreiben, wählt man  unter Konten-Einstellung unter dem jeweiligen Mailkonto S/MIME-Sicherheit. Hier kann man das Zertifikat wählen und das Häkchen bei "Nachrichten digital unterschreiben (als Standard)" setzten. Nun wird jede Mail von diesem Konto unterschrieben.
Hier könnte man auch wählen, die Email immer zu verschlüsseln. Während die Unterschrift bei keinem Empfänger zu Problemen führt, würde eine grundsätzliche Verschlüsselung bei Empfängern, mit denen man keinen Schlüssel ausgetauscht hat zu Problemen führen, weil sie die Email schlicht nicht lesen könnten. Die Lösung ist - wie in iOS - die Verschlüsselung nur zu verwenden, wenn dies möglich ist. Dazu ist das Add-On Encrypt if possible zu installieren, das die Verschlüsselung automatisch anschaltet, wenn ein X.509-Zertifikat vorhanden ist.

Keine Kommentare: