E-Mail-Verschlüsselung mit Thunderbird und S/MIME

smime_21_symbole

E-Mail-Verschlüsselung mit Thunderbird und S/MIME


Vorwort

Anlässlich eines neuen c’t Artikels über Mailverschlüsselung mit S/MIME (c’t Ausgabe 18 [13.08.2012]) habe ich hier ein kleines Bildertutorial zusammengestellt. Dabei wird zuerst ein Zertifikat von Trustcenter.de beantragt und dieses dann anschließend im Thunderbird eingebunden. Danach können E-Mails unterschrieben und entschlüsselt werden.

Vor einiger Zeit hatte ich mich schon mal mit diesem Thema beschäftigt. Damals hatte ich meine Mails aber per PGP verschlüsselt. Das war auch “pretty good” aber im Vergleich mit S/MIME doch mit mehr Aufwand verbunden (zusätzliche Programme und Plugins). Nach einer Neuinstallation meines PCs waren dann erst mal andere Dinge wichtiger, so dass ich die Verschlüsselung leider wieder aus den Augen verloren habe. Der c’t Artikel hat mich wieder auf den Boden der Tatsachen zurück geholt:

  • E-Mail -> Meistgenutztes Kommunikationsmedium -> von Grund auf unsicher
  • Google Mail -> maschinelle Durchforstung der Mailbox -> trotzdem erfolgreichster Mail-Service
  • Privatleute müssen mehr Initiative zeigen -> Nutzung von s/mime bedeutet keinen großen Aufwand

Da ich auch hauptsächlich Google Mail nutze und damit auch sehr zufrieden bin, möchte ich nun auch wieder mit gutem Beispiel vorangehen und Google das Mitlesen verbieten. Sorry Google, die Betreffzeile muss dir von nun an genügen Shame

Für Hintergrundinformationen zu S/MIME möchte ich direkt auf den guten Artikel im Thunderbird-Wiki verweisen, der evtl. auch bei auftretenden Problemen weiterhelfen kann. Für den Unterschied zwischen PGP und S/MIME empfehle ich diesen Artikel.

Anleitung

Als Browser benutze ich in diesem Tutorial ausnahmsweise den Firefox statt Opera.

1. Zertifikat beantragen

Zuerst brauchen wir ein Zertifikat von einer offiziellen Zertifizierungsstelle. Ich habe mich hier für das Trustcenter.de entschieden.

Update:
Trustcenter.de stellt diesen Service bald ein. Alternativ ist für ein kostenloses Zertifikat auch startssl.com zu empfehlen. Wer mehr will als nur eine E-Mail Validierung, der muss zu einem kostenpflichtigen Class 3 Zertifikat greifen. Dabei ist die PSW Group ein günstiger und guter (laut anderen Aussagen) Anbieter.



Also, Homepage aufrufen und im orangefarbenen Kasten bei E-Mail auf “kaufen” klicken. Keine Sorge, wir möchten hier ein Klasse 1 Zertifikat beantragen, welches für den Privatgebrauch bei Trustcenter.de kostenlos und 1 Jahr gültig ist.

Hier entscheiden wir uns für die kostenlose TC Internet ID

… und klicken auf “Zertifikat beantragen“.

Nach dem Ausfüllen des Formulars klicken wir auf “weiter“.

Im nächsten Schritt muss in 1 ein Sperrpasswort festgelegt werden, welches sich für den Notfall zu notieren ist. Ich empfehle für solche Fälle (und auch für alle anderen) den KeePass Password Safe. In 2 kann festgelegt werden, wohin die Aktivierungsdaten gesendet werden sollen. 3 und 4 müssen jeweils mit “Ja” bestätigt werden, wobei sich in 3 ein Popup öffnet, in dem nochmals mit “Ja” bestätigt werden muss.

Nach dem klick auf “weiter” erhalten wir nach kurzer Zeit zwei Mails (vorausgesetzt in 2 wurde eine E-Mail eingetragen):

In der ersten Mail befindet sich ein Link mit Benutzernamen und in der zweiten Mail das dazugehörige Passwort.


Die Seite muss aufgerufen werden, um sich anschließend einmalig anzumelden.

Nun kann das Zertifikat erzeugt und im Browser installiert werden.

Ok, das war’s mit Schritt 1. Wir haben ein Zertifikat und können uns damit ausweisen.

2. Zertifikat mit private Key exportieren

Als nächstes muss unser Zertifikat welches den private und den public Key enthält exportiert werden. Danach kann es dann im Thunderbird importiert werden. Zusätzlich speichere ich es noch in meinem KeePass mit dem benötigten Passwort welches später festgelegt wird.


Zu erst gehen wir in die Einstellungen vom Firefox. Also: Firefox -> Einstellungen

Danach auf Erweitert -> Zertifikate anzeigen.

Hier müssen wir unser soeben erzeugtes Zertifikat anklicken und auf “Sichern” klicken.

Damit speichern wir das Zertifikat inklusive dem private Key in eine .p12-Datei ab.

Aus diesem Grund muss im folgenden Schritt auch ein Passwort zum Schutz des private Keys angelegt werden.

3. public Key exportieren

Damit andere uns verschlüsselt Mailen können, benötigen sie unseren public Key. Diesen können wir aus unserem Zertifikat extrahieren um ihn zu verbreiten (z.B. wie ich im Impressum).



Dazu gehen wir wieder auf  Firefox -> Einstellungen  -> Erweitert -> Zertifikate anzeigen und wählen diesmal die Option “Ansehen“.

Dort wählen wir dann den Reiter “Details” und klicken unten auf “Exportieren“.



Dieses Mal wird im .pem-Format gespeichert. Diese Datei können wir bedenkenlos weitergeben. Denn dafür ist sie gedacht.

4. Einbinden des Zertifikats im Thunderbird

So, damit E-Mails unterschrieben und mit unserem public Key verschlüsselte Mails entschlüsselt werden können, muss unser Zertifikat im Thunderbird importiert werden.

Im Thunderbird wählt man dafür: Extras -> Erweitert -> Zertifikat anzeigen -> Importieren

In den Konto-Einstellungen (Extras -> Konto-Einstellungen) kann nun bei der gewünschten E-Mailadresse unter “S/MIME-Sicherheit” ein Zertifikat ausgewählt werden. Empfehlenswert sind evtl. noch die Häkchen bei “Nachrichten digital unterschreiben (als Standard)” und “Notwendig (Senden nur möglich, wenn alle Empfänger ein Zertifikat besitzen). Dann vergisst man auch nicht die Verschlüsselung. Sollte man kein Zertifikat vom Empfänger besitzen bricht Thunderbird ab und man muss zuerst unter den Button S/MIME (bzw. an dem kleinen Pfeil an dem Button [siehe nächstes Bild]) das Häkchen bei “Nachricht verschlüsseln” entfernen.


Empfangende Mails die unterschrieben und verschlüsselt sind tragen die folgenden Symbole:



Folgendes Symbol hingegen….



… besagt, dass die Signatur zwar gültig ist, es aber unbekannt ist, ob der Absender und der Unterzeichner dieselbe Person sind. Das passiert beispielsweise, wenn ich mit meiner hier veröffentlichten E-Mail-Adresse sven@santiv.de mein Zertifikat zum Unterzeichnen benutze. Grund dafür ist, dass das Zertifikat eigentlich für meine GMail-Adresse ausgestellt wurde, die ich zur Spam-Prävention hier nicht veröffentliche.

Das war’s.

Im Prinzip alles sehr einfach und des Tutorials fast nicht wert. Aber ich möchte mit der Bildanleitung auch weniger PC bewanderten Leuten das sichere Mailen ermöglichen. Außerdem war ich selbst erst kurz verwirrt, dass ich mein Zertifikat erst aus dem Brower holen muss und ich vorher auch gar kein Passwort für mein private Key setzen musste, wie ich es von PGP gewohnt war.

Ein Kommentar

  1. […] Die Anleitung zur sicheren E-Mail gibt es …hier. […]

Hinterlasse eine Antwort