Meine Werkzeuge
  • Autoren-Login (nicht für Hilfesuchende!)

Mailverschlüsselung mit S/MIME

Umzug:
Hallo geehrte Besucher!
Das Forum verwendet nun eine neue Software. Bitte gehen Sie auf http://www.thunderbird-mail.de/index.php/BoardList.
Das alte Forum hier wird als reines Lese-Archiv erhalten. Die Anleitungsseiten werden in den nächsten Wochen in das neue System eingepflegt, können aber auch hier noch gelesen werden.
Gruß Thunder

Aus Thunderbird Mail DE

Wechseln zu: Navigation, Suche

Inhaltsverzeichnis

Wie wende ich die Mailverschlüsselung mit S/MIME an?

Die Mailverschlüsselung mit S/MIME und die elektronische Signatur mit X.509-Zertifikaten sind in Thunderbird integrierte Bestandteile.

Voraussetzungen

Folgende Voraussetzungen müssen erfüllt sein:

  • Der Absender muss im Besitz eines gültigen X.509-Zertifikates sein und dieses auch in Thunderbird installiert haben.
  • Für die Empfänger müssen ebenfalls gültige Zertifikate installiert sein.
  • Es müssen die Zertifikate der herausgebenden Zertifizierungsstellen installiert sein.
  • Den Zertifikaten der Empfänger und der Herausgeber ist das Vertrauen ausgesprochen.

Verfassen und Senden von Nachrichten

Im "Verfassen"-Fenster kann jetzt über Einstellungen S/MIME-Sicherheit festgelegt werden, ob die Nachricht verschlüsselt und/oder unterschrieben (signiert) wird. Beide Einstellungen können auch als Voreinstellungen in Extras > Konten... > %Kontenname% > S/MIME-Sicherheit gesetzt werden. In der Statusleiste ist am Stift- und am Schlüsselsymbol die aktivierte Sicherheit zu erkennen. Gleiches ist über Ansicht > Nachrichten-Sicherheit möglich. Selbstverständlich lassen sich alle Sicherheitsfunktionen über die Schaltfläche "S/MIME" in der Funktionen-Symbolleiste des "Verfassen"-Fensters einstellen und anzeigen.

Empfangen von Nachrichten

Beim Empfang von Nachrichten erfolgen die Entschlüsselung mit dem eigenen geheimen Schlüssel und die Überprüfung der elektronischen Signatur. Die vorhandene Verschlüsselung wird mit dem Icon eines Schlüssels, die gültige Signatur mit einem Stift angezeigt. Bei ungültiger Signatur ist dies am veränderten Icon deutlich erkennbar. Durch Klick auf eines der Icons sind Einzelheiten zur Nachrichtensicherheit zu erkennen (u. a. Name des Unterzeichners, Nummer und Gültigkeit des Zertifikates).

Es besteht die Möglichkeit, das beim Entschlüsseln und Signieren benötigte Passwort des geheimen Schlüssels im Passwort-Speicher des Thunderbird zu speichern und mit dem Master-Passwort zu verschlüsseln.

Was bedeutet "X.509-Zertifikat"?

Zertifikat

Ein X.509-Zertifikat ist ein öffentlicher Schlüssel, der von einer Certification Authority beglaubigt und unterschrieben ist. Ein Zertifikat belegt, dass der Schlüssel wirklich zu derjenigen Person gehört, die in der Benutzerkennung des Schlüssels angegeben ist. Es ist deshalb vergleichbar mit einem elektronischen Ausweis.

X.509

X.509 ist ein Standardformat der ITU-T (International Telecommunication Union-Telecommunication) für Zertifikate. Es beinhaltet den Namen des Ausstellers, üblicherweise eine Certification Authority, Informationen über die Identität des Inhabers sowie die digitale Signatur des Ausstellers und den Gültigkeitszeitraum des Zertifikates. Auf dem X.509-Format basieren z. B. SSL und S/MIME.

X.509-Zertifikate für Einzelpersonen werden in folgenden Klassen herausgegeben:

Class 0

Class 0-Zertifikate (Demo-Zertifikate) sind für Testzwecke gedacht und mit beschränkter Gültigkeitsdauer.

Class 1

Class 1-Zertifikate bestätigen, dass die angegebene E-Mail-Adresse existiert und der Besitzer des zugehörigen öffentlichen Schlüssels Zugriff auf diese E-Mail-Adresse hat. Sie stellen damit nur einen sehr geringen Nachweis der Identität dar. Da keine Überprüfung anhand von Unterlagen stattfindet, können Class 1-Zertifikate (Express-Zertifikat) binnen weniger Minuten ausgestellt und an den Kunden ausgeliefert werden. Sie sind ideal für private Nutzer, die erste Schritte auf dem Weg zur sicheren Internet-Kommunikation gehen wollen und den Umgang mit verschlüsselter E-Mail ausprobieren möchten, und sie werden von den meisten Trustcentern kostenlos herausgegeben.

Class 2

Bei Class 2-Zertifikaten für Unternehmen wird auf eine persönliche Identitätsfeststellung verzichtet. Eine einfache Kopie des Handelsregisterauszuges zur Feststellung der zeichnungsberechtigten Person und ein schriftlicher Auftrag sind ausreichend. Diese Zertifikate sind hauptsächlich für die gesicherte Kommunikation zwischen einander bereits außerhalb des Internets bekannten Partnern gedacht.

Class 3

Class 3 beinhaltet neben der E-Mail-Überprüfung eine persönliche Identitätsprüfung der Person. Mit der Ausstellung eines Class 3-Zertifikats bestätigt das Trustcenter, dass diese Person anhand ihres Personalausweises oder Reisepasses identifiziert worden ist und die im Zertifikat enthaltenen Angaben zur Person mit den Angaben im Ausweis übereinstimmen. Diese Zertifikate sind vor allem für Anwendungen im E-Commerce gedacht, wie beispielsweise Internet Banking und Online Shopping. Sie werden aber auch zunehmend für die elektronische Kommunikation mit Behörden eingesetzt (Übermittlung Steuerdaten und zukünftig elektronische Antragstellung).

Quelle: http://www.trustcenter.de

Weitere Informationen: Bundesnetzagentur: DIR - Qualifizierte elektronische Signatur

Woher bekomme ich ein X.509-Zertifikat?

Während die Schlüssel für GnuPG/PGP durch den Anwender selbst produziert werden, werden X.509-Zertifikate durch eine Zertifizierungsstelle (CA,Trustcenter) produziert.

Was ist eine Certificate Authority (CA)?

Eine Zertifizierungsstelle (engl. Certificate Authority, kurz CA) ist eine Organisation, die digitale Zertifikate herausgibt. Ein digitales Zertifikat ist gewissermaßen das Cyberspace-Äquivalent eines Personalausweises und dient dazu, einen bestimmten öffentlichen Schlüssel einer Person oder Organisation zuzuordnen. Diese Zuordnung wird von der Zertifizierungsstelle beglaubigt, indem sie diese mit ihrer eigenen digitalen Unterschrift versieht. Die Zertifikate enthalten "Schlüssel" und Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung sensitiver oder vertraulicher Daten dienen, die über das Internet und andere Netze verbreitet werden. Als Zusatzinformationen sind zum Beispiel Lebensdauer, Verweise auf Sperrlisten etc. enthalten, die durch die CA mit in das Zertifikat eingebracht werden.

Weitere Informationen: http://de.wikipedia.org/wiki/Certification_Authority

Zunehmend bieten auch Banken und Sparkassen ihren Kunden qualifizierte Zertifikate auf Chipkarten an. Zertifikate werden durch die CA je nach Anforderung als Hardwaretoken (auf Chipkarte) oder als Softwarezertifikat herausgegeben. Für die außerordentlich hohen Anforderungen der so genannten "qualifizierten Signatur" (Class 3) sind ausschließlich Hardwaretoken und die entsprechenden Kartenleser zugelassen.

Die für private Nutzung meist ausreichenden Class 1-Zertifikate werden dem Antragsteller als Softwaretoken übergeben. Beispiel für Trustcenter: https://www.startssl.com


Selbstverständlich gibt es auch die Möglichkeit, X.509-Zertifikate speziell für geschlossene Nutzergruppen (Familie, Freunde, Forum, Firmen ...) selbst zu produzieren.

Ein ausgezeichnetes Werkzeug dafür ist das als Linux- und auch als Windowsversion erhältliche Freewareprogramm "XCA". http://xca.sourceforge.net/ Dieses Programm besticht nicht nur durch ein logisches Bedienkonzept, sondern auch durch die Möglichkeit, für alle gängigen Anwendungsfälle Vorlagen zu erstellen. Selbstverständlich ist auch die Erstellung von Sperrlisten möglich und die produzierten Zertifikate lassen sich in allen gängigen Formaten exportieren.

Weitere Informationen dazu im Forum (Suchfunktion, Suchwort: "XCA" oder "Peter_Lehmann")

Was kostet ein X.509-Zertifikat?

Es heißt, dass Zertifikate eine teuere Angelegenheit und damit nur für Firmen geeignet sind. - Das ist nur teilweise richtig: Qualifizierte Zertifikate, mit denen Firmen ihre Verträge und Dokumente signieren oder gar eine eigene CA betreiben, können bei einem Trustcenter ohne weiteres einige Hundert Euro pro Jahr kosten. Andererseits bieten Trustcenter das Class 1-Zertifikat als Softwaretoken für den Privatanwender kostenlos an. Eine weitere Quelle für echte qualifizierte Zertifikate auf Chipkarte sind neuerdings Banken und Sparkassen. Die Kosten belaufen sich auf rund 10-20 Euro mit unterschiedlichen Gültigkeiten (ca. 3 Jahre im Durchschnitt). Auch bei einem bekannten Telekommunikationsanbieter sind Chipkarten zu einem ähnlichen Preis zu erhalten.

Wo erhalte ich ein kostenloses X.509-Zertifikat (Class 1)?

Beispielsweise hier: StartSSL Free, Free Secure Email Certificate (Comodo)

Wie lade ich ein X.509-Zertifikat herunter?

Die Erklärung erfolgt am Beispiel des TC Trustcenter Hamburg (http://www.trustcenter.de/). Bei anderen Anbietern ist das Verfahren ähnlich.

Hinweis:
Das TC TrustCenter stellt am 30. Oktober 2014 seinen Dienst ein.

Siehe auch: TC TrustCenter stellt seinen Dienst ein


Mit einem Javascript-fähigen Browser (getestet mit Mozilla Firefox und Internet Explorer) gehen Sie zu dieser Adresse. Der gesamte Vorgang von der Beantragung bis zum Test erfolgt logisch in 3 Schritten und ist sehr gut beschrieben. Sie sollten sich die Zeit nehmen, die Anleitungen zu lesen.

Hier nur einige ergänzende Hinweise:

  • Folgen Sie zuerst der Aufforderung, sich das Class 1-Zertifikat des Trustcenters herunterzuladen und zu installieren (auch als Datei herunterladen, sie wird später benötigt).
  • Es werden Name, Vorname, Anschrift und gültige Mailadresse übersandt und gespeichert. Die Speicherung dient dem Zweck der Veröffentlichung der Zertifikate auf dem Schlüsselserver und damit der Suche Ihres Zertifikates durch andere Personen.
  • Durch Versand einer E-Mail an die angegebene Adresse erfolgt eine Prüfung über deren Gültigkeit. Das Zertifikat ist fest an diese Adresse gebunden!
  • Das Schlüsselpaar, bestehend aus dem geheimen/privaten und dem öffentlichen Schlüssel, wird im Kryptomodul des eigenen Browsers erzeugt.
  • Danach wird ein Zertifikatsrequest an den Server des Trustcenters gesandt. Dabei wird der öffentliche Schlüssel zur Signierung und Speicherung an das Trustcenter gesandt. Der geheime Schlüssel verlässt den Browser nicht!
  • Zum Abschluss wird das eigene, vom Trustcenter signierte Zertifikat im Browser installiert.
  • Sie sollten jetzt sofort Ihr Zertifikat (und zwar einschließlich des geheimen Schlüssels) aus dem Browser exportieren und auf Diskette oder CD sichern und sicher verwahren! Auch für die Installation des Zertifikates in Mozilla Thunderbird wird diese exportierte Datei benötigt.

Der Export erfolgt wie folgt:

  • Firefox 2: Extras > Einstellungen... > Erweitert > Verschlüsselung > Zertifikate anzeigen > Ihre Zertifikate > Backup > *.p12
  • Internet Explorer: Extras > Internetoptionen > Inhalte > Zertifikate > Eigene Zertifikate > Exportieren, einschließlich priv. Schlüssel > als PKCS# 12 (*.pfx), verstärkte Sicherheit

Wie installiere ich ein X.509-Zertifikat in TB?

Die Erläuterung erfolgt am Beispiel der Thunderbird-Version 1.5 unter dem Betriebssystem Windows XP und Zertifikaten des TC Trustcenter Hamburg.

Installation der erforderlichen Ausstellerzertifikate des Trustcenters

Während eine Vielzahl von Ausstellerzertifikaten bereits im Zertifikatsspeicher des TB installiert sind, ist das Class 1-Zertifikat des TC Trustcenter nachträglich zu installieren: Extras > Einstellungen... > Erweitert > Zertifikate > Zertifikate... > Zertifizierungsstellen Hier die vorher heruntergeladene Datei "tcclass1-2011.der" (oder .crt) auswählen und in TB importieren. Danach ist diesem importierten Zertifikat durch "Bearbeiten" der Vertrauensstatus einzustellen. Hier ist zumindest das Vertrauen für die Identifikation von Mail-Benutzern erforderlich.

Installation des eigenen Zertifikates im Zertifikat-Manager

Dazu ist hier die aus dem Browser exportierte .pfx- oder .p12-Datei mit dem geheimen Schlüssel auszuwählen: Extras > Einstellungen... > Erweitert > Zertifikate > Zertifikate... > Ihre Zertifikate > Importieren Hierbei werden Sie zuerst nach dem Masterpasswort des "Software-Sicherheitsmoduls" und danach nach dem "Transportpasswort" der .pfx- bzw. .p12-Datei gefragt. Voraussetzung für einen erfolgreichen Import ist das Vorhandensein der Herausgeberzertifikate (unter "Zertifizierungsstellen") sowie das ausgesprochene Vertrauen in diese Zertifikate (=> "Bearbeiten").

Nach dem erfolgreichen Import des eigenen Zertifikates übernimmt das Software-Sicherheitsmodul des Thunderbird durch die Verschlüsselung mit dem Masterpasswort den Schutz des eigenen privaten Schlüssels.

Einstellen der S/MIME-Sicherheit des Mailkontos

Jetzt ist die Verknüpfung des Zertifikates mit dem Mailkonto herzustellen. Dazu ist hier das richtige Zertifikat auszuwählen: Extras > Konten... > %Kontenname% > S/MIME-Sicherheit > Digitale Unterschrift

Das Zertifikat ist sowohl für die digitale Unterschrift (Signatur) als auch für die Verschlüsselung auszuwählen. Die standardmäßige Anwendung der digitalen Unterschrift bei allen Nachrichten ist empfohlen, die standardmäßige Anwendung der Verschlüsselung nur dann, wenn von allen Adressaten ein Zertifikat vorhanden ist.

Installation der Zertifikate der Adressaten

Um Nachrichten an einen Adressaten verschlüsseln zu können, ist die Installation seines Zertifikates erforderlich. Beim Öffnen einer von diesem Adressaten signierten E-Mail erfolgt die Installation automatisch, aber auch hier ist das nachfolgend beschriebene Aussprechen des Vertrauens notwendig. In der Regel ist das Zertifikat aber vom Server des Trustcenters zu importieren: Aufsuchen der Zertifikatssuche des Trustcenters: https://www.trustcenter.de/fcgi-bin/Search.cgi?Language=de, nach dem Namen oder der Mailadresse suchen und das Zertifikat als Datei abspeichern. Diese Datei ist danach in den Zertifikatsspeicher des TB "Zertifikate anderer Personen" zu importieren.

Vertrauen einstellen

Durch "Bearbeiten" ist dem importierten Zertifikat das Vertrauen auszusprechen.

Warum werden die importierten Zertifikate nicht angezeigt?

Wenn ein importiertes Zertifikat nicht angezeigt wird, liegt dies in der Regel an dem nicht importierten Zertifikat des Herausgebers (CA) oder an dem nicht ausgesprochenen Vertrauen in dieses Zertifikat. Bitte beides überprüfen und den Zertifikatsimport wiederholen.

Warum erscheinen fremde Zertifikate (importierte Zertifikate der Mailpartner) im TB nicht unter "Personen"

Wird das Zertifikat eines Mailpartners importiert, und das Herausgeberzertifikat des ausstellenden Trustcenters befindet sich bereits mit ausgesprochenem Vertrauen (!) im Zertifikatmanager unter "Zertifizierungsstellen", dann resultiert das Vertrauen in dieses Nutzerzertifikat automatisch aus dem Vertrauen in das Herausgeberzertifikat. Es ist also nicht noch einmal das Vertrauen in dieses Nutzerzertifikat auszusprechen!

Der zuerst durchzuführende Import des Herausgeberzertifikates und das Aussprechen des Vertrauens (beides nur erforderlich, wenn nicht bereits bei der Installation schon vorhanden, "Buildin Object Token") ist der Regelweg bei der Installation von Nutzerzertifikaten und dieser entspricht auch dem hierarchischen Prinzip der X.509-Zertifikate.

Es kommt vor, dass ein manuell oder automatisch importiertes Zertifikat eines Adressaten nach dem Einstellen des Vertrauens (!) nicht mehr unter "Personen" eingetragen ist. Dafür finden Sie es im Zertifikatsspeicher unter "Websites". Bitte überprüfen Sie dort noch einmal die Einstellungen des Vertrauens. Das Beschriebene ist ein kleiner, aber funktionell unbedeutender Bug im Thunderbird.

Auf diese Weise kann auch einem Nutzerzertifikat direkt das Vertrauen ausgesprochen werden, ohne dass die Herausgeberzertifikate importiert wurden.

Kann ich mein vorhandenes Zertifikat auf Chipkarte mit Thunderbird nutzen?

Im Prinzip ja. Wenn Sie die Chipkartensoftware (Middleware oder richtiger CSP - Cryptografic ServiceProvider) für Ihr genutztes Betriebssystem zur Verfügung und auch installiert haben, können Sie diese im TB einbinden. Dazu gehen Sie nach Extras > Einstellungen... > Erweitert > Zertifikate > Kryptographie-Module.... Mit "Laden" können Sie zusätzlich zum integrierten Software-Kryptographie-Modul ein neues Hardware-Kryptographie-Modul (PKCS#11) einrichten. Das zu lösende Problem wird sein, die richtige Modul-Datei zu finden. Unter Windows ist dies in der Regel eine DLL, welche mit der Chipkartensoftware geliefert wird. Hier ist es möglich, etwas zu experimentieren oder eine Anfrage an den Hersteller zu senden. Auch eine Anfrage im Forum kann nützlich sein.


Schlüsselwörter: Die folgenden Begriffe (Schlüsselwörter / Keywords) dienen lediglich einer flexibleren Suche auf der Website:
Mailverschlüsselung, Verschlüsselung, S/MIME, Zertifikat, Certificate Authority


Info.png
FAQ: Dieser Artikel gehört zu den "Häufig gestellten Fragen" (FAQ). Die Seite Fragen & Antworten bietet eine Übersicht aller FAQ-Artikel. Außerdem ist die MozillaZine Knowledge Base (Englisch) immer einen Blick wert.
Suchen
Foren-Zugang
Werbung