E-Mail Verschlüsselung mit S/MIME

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard zur E-Mail-Verschlüsselung.

Wie bei PGP gibt jeweils einen privaten Schlüssel und einen öffentlichen Schlüssel. Möchten Sie jemandem eine verschlüsselte Nachricht schicken, so benötigen Sie dessen öffentlichen Schlüssel. Wenn Sie von jemandem eine verschlüsselte E-Mail erhalten möchten, so benötigt dieser Ihren öffentlichen Schlüssel, um die E-Mail damit zu verschlüsseln. Mit Ihrem privaten Schlüssel können NUR Sie die empfangene verschlüsselte Nachricht wieder entschlüsseln.

Da PGP und S/MIME unterschiedliche Schlüsselformate verwenden sind die beiden Verfahren leider nicht kompatibel.

Um sicherzustellen, dass Sie als Absender einer E-Mail auch die Person sind, die Sie vorgeben zu sein, bietet S/MIME genau wie PGP neben der Verschlüsselung auch die Möglichkeit, Ihre E-Mails zu signieren.

S/MIME hat gegenüber PGP den großen Vorteil, dass es bereits in vielen Mail-Programmen und Smartphones verfügbar ist. Andererseits ist die Erstellung des benötigten Schlüsselpaares etwas komplizierter als bei PGP. Hierfür benötigen Sie ein „X.509 Zertifikat“, welches Sie von einer offiziellen Zertifizierungsstelle kostenlos erhalten können.

Zertifikate

Es gibt vier Klassen von diesen Zertifikaten. Sie unterscheiden sich in der Gründlichkeit der Überprüfung des Antragstellers:

1. Ein Klasse-0-Zertifikat dient lediglich zu Testzwecken und hat eine beschränkte Gültigkeitsdauer.
2. Bei einem Klasse-1-Zertifikat wird lediglich überprüft, ob die E-Mail-Adresse existiert. Dies geschieht ausschließlich online und voll automatisiert.Entscheiden Sie sich als Privatperson für dieses Zertifikat, bekommen Sie an Ihre E-Mail Adresse den Freischaltcode zugeschickt, welchen Sie dann auf der Webseite der Zertifizierungsstelle eingeben und erhalten dann Ihr Zertifikat. Es wird also nur sichergestellt, dass der Antragsteller Zugriff auf das E-Mail-Postfach hat, für welches das Zertifikat gelten soll. Hierbei könnte es sich im Zweifelsfall auch um eine unbefugt Person handeln, welche Zugriff auf Ihr E-Mail-Postfach hat.
3. Ein Klasse-2-Zertifikat enthält neben der E-Mail-Adresse noch weitere Informationen, wie den Namen sowie die Organisation oder Firma. Es ist auf Unternehmen ausgerichtet und die Identitätsprüfung erfolgt über einen schriftlichen Antrag oder die Übersendung eines Handelsregisterauszuges.
4. Ein Klasse-3-Zertifikat beinhaltet eine persönliche Identitätsprüfung. Sie selbst müssten also bei der Zertifizierungsstelle erscheinen und würden anhand Ihrer Ausweisdokumente verifiziert werden.

Die für die private Nutzung meist ausreichenden Klasse-1-Zertifikate werden Ihnen als Datei übergeben.

Kostenlose S/MIME-Zertifikate gab es in der Vergangenheit bei Comodo und StartCom, beide haben jedoch ihren kostenlosen Dienst eingestellt. Vielleicht bietet LetsEncrypt bald kostenlose S/MIME Zertifikate an?

In folgender Liste bei Mozilla sind einige Anbieter gelistet, die kostenlose S/MIME Zertifikate anbieten. ABER: Die meisten haben einen Haken, entweder die Zertifikate sind nur 30 Tage gültig, das Root-Zertifikat des Anbieters ist nicht in allen Betriebssystemen vorinstalliert, oder der Private Schlüssel wird vom jeweiligen Anbieter generiert. Letzteres sollte man nicht machen, man selbst sollte der einzige auf der Welt sein, der Zugriff auf den privaten Schlüssel hat (und damit E-Mails entschlüsseln und signieren kann).

• https://kb.mozillazine.org/Getting_an_SMIME_certificate

Kostenpflichtige S/MIME-Zertifikate gibt es beispielsweise bei Digicert, Sectigo (früher Comodo) oder InstantSSL:

• https://www.digicert.com/client-certificates/
• https://sectigo.com/signing-certificates/email-smime-certificate
• https://www.instantssl.com/secure-email-certificates-s-mime