Eine der über 200 neuen Funktionen die uns zur Freigabe des iOS 5 im Herbst erwarten, ist die Erweiterung der eMail-Applikation um die Unterstützung des S/MIME-Standards.
Sowohl abgekürzt als auch ausgeschrieben (Secure/Multipurpose Internet Mail Extensions) etwas holperig zu lesen, ist S/MIME nicht viel mehr als ein standardisiertes Protokoll zum Verschlüsseln und Signieren von eMails dessen Details sich in diesem Artikel der deutschen Wikipedia nachlesen lassen.
Die Option, eMails nicht nur unterschrieben sondern auch Verschlüsselt vom iPhone versenden zu können, versteckt sich in den Mail-Optionen des iOS. Einmal aktiviert, kennzeichnet das iPhone signierte eMails im Posteingang automatisch und erlaubt euch die Signatur des Senders direkt auf dem eigenen Gerät abzuspeichern. Beim nächsten Kontakt, kann das iPhone den Text der Unterhaltung dann verschlüsselt durchs Netz schicken.
ChristianAlpen, den langjährigen ifun-Lesern noch mit den ersten Reviews des TomTom Car-Kits in Erinnerung, hat sich in seinem Youtube-Kanal heute ausführlich mit der S/MIME Einrichtung auf dem Mac und auf Apples iOS-Geräten beschäftigt und verpackt alle wissenswerten Informationen zur bislang noch wenig dokumentierten Neuerung in diesem 6-minütigen HD-Video.
Auf unsere Bitte hat ChristianAlpen (Danke!) die drei relevanten Schritte noch mal zusammengefasst:
Möchte man Bob eine verschlüsselte E-Mail zuschicken, muss man von Bob erst eine unverschlüsselte aber signierte E-Mail bekommen. Dann tippt man auf den Namen des Absenders, lässt sich das Zertifikat anzeigen und installiert dieses. Ab diesem Moment werden alle E-Mails an diesen Empfänger automatisch signiert und verschlüsselt.
Private Anwender bekommen übrigens kostenlose Zertifikate mit einem Jahr Gültigkeit innerhalb von fünf Minuten unter www.trustcenter.de. Diese kann man in den Schlüsselbund des Mac importieren, die Mail-App nutzt dann automatisch dieses Zertifikat. Dieses Zertifikat kann auch auf das iPad importiert werden. Komplizierte Einrichtung, aber wenn es läuft, dann läuft es und man merkt es nicht mehr.
Sehr informativ. Danke!
— Cemoiaber eigentlich für normale user nicht nötig oder?
— Marcosofern du auch deine Briefe verschickst ohne diese zuzukleben ist dies für privatanwender nicht notwendig
— Bröselsofern du auch deine Briefe verschickst ohne diese mit einem Vorhängeschloss und einer handgeschriebenen Unterschrift zu versehen ist dies für privatanwender nicht notwendig
— HunterMWsofern du deine briefe als postkarte versendest, ist dies für privatanwender nicht notwendig
— unsacred666Ihr seits ja ein paar ganz lustige, synchronschreiben, damit könnt’s im Zirkus auftreten!
— DavidSehr schön gemacht. Der Iphone teil hat bei mir etwas gekratzt .. aber egal .. der inhalt super
Freut mich das ich endlich verschlüsselte mails am phone lesen werden kann .. *daumen hoch*
— Dominiqueweiss jemand wie es mit PGP Verschlüsselung aussieht?
— BröselDerzeit nicht geplant, hat sicher auch was mit Lizenzierung zu tun, allerhöchstens ginge OpenPGP. S/MIME ist im Unternehmensumfeld weit verbreitet und die Umsetzung bei iOS 5 ist, mal abgesehen von der nicht ganz intuitiven Installation, sehr einfach zu nutzen: es geht quasi automatisch.
— chrisalpenS/MIME ist im Unternehmensumfeld deswegen so beliebt, weil es Hintertürchen für Admins und Behörden hat. Wenn die Verschlüsselung aber Hintertürchen hat, ist sie letztlich unsinnig.
— DRAGONFLYAlternative: Quellofene Werkzeuge.
@Dragon: Wusste ich gar nicht. Klingt aber möglich. durch die Vergabestelle nehme ich an
— TheWorm@ Dragonfly Hast Du dafür einen Link oder einen Beleg, davon hat Google nämlich (außer diversen unbelegten Verschwörungstheorien) noch nichts gehört? Wie kann ein Admin eine Hintertür haben?
— HorstSchlämmersoweit ich mich erinnere kann man als Nutzer von web.de ein Zertifikat bekommen, dann kann man sie auch im Web-Interface von web.de benutzen.
— RobertJo bei Web.de kann man sich einfach ein zertifikat runter laden. (Einstellungen -> Sicherheit -> Verschlüsselung)
— MikeKomisch-habe ein Zertifikat beantragt und zum iphone gesendet-doch dort kann ich es nicht einlesen “”Mail kann diesen Anhang nicht öffnen”
— GeorgIrgendwelche Tipps ???
Hast du ios5? Nur damit geht’s.
— Karajahn | Gamecenter ID: Karajahnziehe alles zurück-man muss das Zertifikat vom Mac erst exportieren-dann z.B. pr mails aufs iphone-das ist dann auch eine .p12 Datei die man installieren kann.Läuft also bestens :-)
— Georgja ios5 ist drauf ;-)
— GeorgFür iOS 4 gibt es zum Beispiel die App Secure-Mail, damit funktioniert das auch :)
— x2onSchade, dass man nicht bei jeder Mail einzeln entscheiden kann, ob man sie verschlüsseln will oder nicht. Dass das so an den Empfänger “fest getackert” wird finde ich nicht so toll… aber immerhin kann das iPhone endlich SMIME…
— AndreasIch kann zwar eine .p12 Datei aus dem Schlüsselbund exportieren, jedoch sagt mir iOS5 nur schlicht: “Ungültiges Profil”.
— LokiWas habe ich falsch gemacht?
Bin ich jetzt blind oder wieso finde ich auf der angegebene Site keine kostenlose Option, eine Signatur zu beantragen?
— Clearanceunter Produkte / TC Certificates / TC Internet ID – die ist kostenlos und 1 Jahr gültig
— GeorgOh, vielen Dank :)
— ClearanceWas Dragonfly da ungeprüft verbreitet, ist ein Märchen. Wer PKI verstanden hat, weiß, dass es logisch unmöglich ist, eine S/MIME-verschlüsselte Nachricht zu öffnen, ohne den privaten Schlüssel des Berechtigten zu besitzen. Selbst für Verschwörungstheoretiker ist die Story spätestens dann vorbei, wenn der private Schlüssel auf einer Smartcard generiert wurde und von dort nicht exportierbar ist. Leider wird genau diese ultimativ sichere Vorgehensweise von iOS 5 nicht unterstützt.
— Axel StettGanz Unrecht hat er nicht, wenn der Unternehmens Mailserver automatisch alle ausgehenden Mails mit dem Schlüssel des Admin verschlüsselt könnten diese auch von ihm gelesen werden. Allerdings ist dies ein generelles Problem und trifft auch auf PGP zu. Inwieweit dies aber zulässig ist… und wen dies wieder interessiert…
Bei uns werden zum Beispiel die Festplatten mit Hilfe von Smartkards verschlüsselt. Dabei wird aber auch der Schlüssel des Admin verwendet. Dies ist auch gut so, denn wenn meine Karte kaoutt ist oder ich den Pin vergessen habe, komme ich dennoch an meine Daten.
— MacAndreasÄhm… Ich weiss nicht, ob das relevant ist, aber ich kann hier im “trust”center einfach ein gratis Zertifikat auf Angela Merkel ausstellen.
angela.merkel@web.de
Ziehlmich cool. Kann ich jetzt von meinem iPhone aus endlich diese doofe Steuerpolitik abschaffen und wirklich was für’s Volk tun?
— Peter Meier | Gamecenter ID: 1234129018Naturlich kannst Du das, wenn Du Eignetümerin der Mailadresse angela.merkel@web.de bist… nur wer sollte auf Dich hören?
— MacAndreasHat schon mal jemand mit einem Schlüsselpaar/Zertifikat von CAcert auf iOS 5 Erfolg gehabt ?
Diese Frage wurde bereits hier http://securitymusings.com/art.....ios-5-beta und hier
https://www.xing.com/net/pri6d2cb3x/cacert/general-questions-discussions-87086/fwd-ios-5-beta-successes-37736870/37736870/#37736870 gestellt.
Es gibt aber bislang noch keine Antwort darauf …
— fbrueckn | Gamecenter ID: fam.frank.brueckner@web.deDie CACert-ZErtifikate funktionieren wenn man den Emailaccount mit welchem man sie Nutzen möchte nicht am iPhone erstellt sondern über das iPhone Konfigurationsprogramm erstellt und auch dort, bei den Einstellungen für ausgehende Emails- Signatur und Verschlüsselungszertifikat auswählt.
— Mark MäuslingNachteil dieser Vorgehensweise ist, dass die so gemachten Einstellungen verbindlich sind. D.h. Alle Ausgehenden Mails werden signiert und wenn man auf eine signierte Email antwortet wird diese verschlüsselt. Ein temporäres abschalten der SMIME Unterstützung am iPhone ist so nicht möglich.
Warum die Zertifikate auf diesem Wege funktionieren und sonst nicht, konnte ich leider noch nicht herausfinden
Ich finde S/MIME-Unterstützung für iOS-Geräte waren ein lange überfälliges Feature.
Ich habe allerdings keine Einstellungsmöglichkeit gefunden, dass man vom Mailprogramm vor dem Signieren der eigenen Nachricht bzw. vor dem Entschlüsseln einer empfangenen Nachricht nach dem Passwort für das eigene Zertifikat gefragt werden möchte.
Das bedeutet, einmal installiert ist das Ganze nur so sicher wie mein Zugriffsschutz für das iOS-Gerät, der ja bekanntermaßen eher mäßig ist.
Damit wird der vermeintliche Sicherheitsgewinn durch Verschlüsselung dadurch zunichte gemacht, dass jeder mit Zugriff auf das Gerät in meinem Namen signierte Mails versenden kann, was meines Erachtens ein mächtiger Designfehler wäre.
Oder habe ich die entsprechende Einstellungsmöglichkeit zur Passwortabfrage einfach nur nicht gefunden?
— JonahDanke für diese gute Anleitung. Vielleicht könnte man noch darauf hinweisen, dass das Zertifikat aus dem Schlüsselbund exportiert werden muss damit es als .p12-Datei auf dem iPhone installiert werden kann. Zieht man es lediglich aus dem Schlüsselbund in die Mail lässt es sich zwar auf dem iPhone auch installieren, aber es findet sich in den Mail-Einstellungen kein gültiges Zertifikat.
— HansJetzt mal im Ernst: Sich ein private Key per eMail selbst zu schicken ist so ungefähr das dümmste was man machen kann. Wie es anders geht wäre das einzig interessante an diesem Video gewesen…
— Tom | Gamecenter ID: 00Na, dann sag doch mal wie denn das gehen würde? Ich habe nämlich keinen Plan… :p
— StephanBeim exportieren des Schlüsselpaares musst Du ein Passwort eingeben, somit wird die Datei geschütz übertragen.
— MacAndreasSchöne Anleitung,
— Tomaber wie erstelle ich ein eigenes S/MIME Profil bzw. Zertifikat in OS X Lion? Im Schlüsselbund kann man ja sich ein selbst signiertes Rootzertifikat ausstellen & anschließend eine eigene Zertifikatsinstanzstelle, mit der man für andere und sich selber Zertifikate erstellen kann.
Warum das ganze? Fragt sich bestimmt jetzt jemand.
Ich will nicht jedes Jahr ein neues S/Mime Zertifikat installieren. Wenn man selber ausstellt, dann kann man auch eine Gültigkeit von 7300 Tagen vergeben und das wäre für mich ok. Das man mein Zertifikat im Netz nich überprüfen kann ist mir wurscht. Ich bin für meine Verwanten & Bekannten vertrauenswürdig.
Leider bekomme ich es nicht hin, daß man mit meinen erstellten Zertifikat auch verschlüsseln kann. Signieren geht, aber verschlüsseln nicht.
Meine große Frage nun, Wer kennt sich damit aus und kann helfen?
Gruß Tom
Jeder Schlüssel besteht aus zwei Teilen, einem öffentlichen und einem privaten. Mit dem privaten “unterschreibst” Du Deine Mail mit einer damit verschlüsselten Prüfsumme der Mail, die der Empfänger mit dem ihm bekannt gegebenen (weil öffentichen) Schlüssel entschlüsseln kann.
— AndreasBeim Verschlüsseln geht es andersherum: Du benötigst den öffentlichen Schlüssel des Adressaten und verschlüsselst die ganze Mail damit. Der Empfänger kann dann mit seinem privaten Schlüssel diese entschlüsseln. Das bedeutet aber auch, dass Du von jedem Empfänger den öffentlichen Schlüssel benötigst und für jeden eine eigene verschlüsselte Mail erzeugen musst. Deshalb auch die “Sammelfunktion” der öffentlichen Schlüssel im Mailprogramm.
Hallo Andreas,
— Tomerstmal danke für deine Antwort, aber leider hast du meine Frage nicht richtig gelesen :-) bzw. ich habe mich eventuell nicht klar ausgedrückt. Ich versuch es noch mal.
Mit meinem erstellten Zertifikat kann man keine Nachrichten verschlüsseln. “man” bedeutet in diesem Fall, daß andere Nachrichten an mich nicht verschlüsseln können. Das Prinzip der 2 Schlüssel ist mir seit Jahren bekannt und verständlich. Habe mit gnuPG Schlüssel generiert usw.
Das Problem bei diesen ganzen Verschlüsselungen ist das komplizierte installieren für den normalen Anwender.
S/mime
Hallo Andreas,
— Tomerstmal danke für deine Antwort, leider haste meine Frage nicht richtig gelesen oder ich habe mich nicht richtig verständlich gemacht.
Daher versuche ich es noch mal :-)
Mit meinem Zertifikat man man Nachrichten nicht verschlüsseln. “man” bedeutet in diesem Fall, daß andere Nachrichten an mich, mit diesem Zertifikat, nicht verschlüsseln können. Das Prinzip der 2 Schlüssel ist mir seit Jahren vertraut (PGP, gnuPG, Ciphire …)
Das größte Problem bei den Verschlüsselungen ist zum einen die komplizierte Installation für normale Anwender. S/Mime ist von der Handhabung sehr einfach, aber hier ist dann wieder das Zertifikat das Problem. Es gibt zwar kostenlose Zertifikate, aber das muß jedes Jahr erneuert werden. Keiner, der ein Brief schreibt, kommt auf die Idee seinen Brief einfach offen zu lassen. Bei einer E-Mail ist es genau umgekehrt. Hier wird fast nichts verschlüsselt.
Ok, bin abgeschweift :-)
Nochmal zu meiner Frage.
Kennst du oder jemand anderer sich mit der Erstellung von Zertifikaten über die Schlüsselbundverwaltung in OS X aus und kann mir helfen Zertifikate mit einer Laufzeit von 7300 Tagen zu erstellen. Das Zertifikat soll das Verschlüsseln von Nachrichten AN MICH dienen.
Also, wer kann helfen.
Gruß Tom
Zweite Meinung gefragt! Trustcenter Lücke?
Im Trustcenter erstelle ich mein Zertifikat, eine *.p7s Datei.
— JochenDie enthält meinen privaten und öffentlichen Schlüssel.
Verschlüsselung und Signierung geht.
Wenn mich jetzt jemand anschreibt, nimmt er automatisch den öffentlichen Schlüssel aus dem Trustcenterverzeichnis ….
Gehe ich aber dort hin:
http://www.trustcenter.de/info.....ervice.htm
auf SUCHE und nehme einen beliebigen Namen (Peter*Mayer* z.B.) bekomme ich dessen Zertifikate zu sehen … eigentlich dürften dort ja nur die öffentlichen Schlüssel zu sehen sein? Falsch!? Ladet mal das DER File runter, importiert es und schon hat man das vollständige Zertifikat!
Ich hab das mit einer weiteren E-Mailadresse von mir ausprobiert.
Zertifikat angelegt, und nur das DER in den Schlüsselbund importiert und ich war in der Lage an meine andere Adresse verschlüsselt und signiert zu senden … !
Ich vermute ja einen Denkfehler bei mir, komme aber nicht drauf!?
Hallo Jochen,
— Tomich behaupte mal Lezteres trifft zu :-) (ist ein Denkfehler)
Du kannst desshalb die E-Mail verschlüsselt an dich senden, weil du bereits den öffentlichen Schlüssel (1. Zertifikat, welches du dir erstellt hattest) deiner E-Mail besitzt. Das 2. Zertifikat, welches du dir erstellt hast, signiert die abgeschickte E- Mail. In dieser Signatur (Zertifikat) befindet sich auch der öffentliche Schlüssel mit dem der Empfänger, in deinem Beispiel du selbst, eine verschlüsselte Antwort an deine Absender E-Mail zurück schicken kannst.
Man kann mit dem eigenen E-Mail Zertifikaten nur E-Mails signieren. Mit dieser Signatur (Zertifikat) kann jeder Empfänger verschlüsselte Nachrichten zusenden. Solange du keine signierten Nachrichten erhälst, kannst du auch keine E-Mail an die entsprechenden Empfänger verschlüsseln. Du benötigst von allen, den du verschlüsselte Nachrichten senden willst, den öffentlichen Schlüssel. Daraus folgt, jeder müßte dir mindestens eine signierte Nachricht schicken :-)
Ich hoffe, daß ich dein Beitrag richtig verstanden habe und ich dir helfen konnte.
Gruß Tom
Hat jemand es geschafft sein iPad dazu zu bringen, dass das WEB.DE Trustcenter E-Mail-Zertifikate akzeptiert wird. Ich komme über “not trusted” nicht hinaus. Daher hat mein persönliches Zertifikate von web.de auch den Status “not trusted.”
— Eckart HasselbrinkVielen Dank für die ausführliche Anleitung. Leider klappt das Installieren des per Schlüsselbund exportierten TrustCenter-Zertifikats auf meinem iPhone nicht.
Wenn ich die .p12-Datei importieren will, wird zunächst der Gerätecode und dann das Passwort abgefragt, mit dem die Datei verschlüsselt ist – so weit so gut…
Dann erscheint aber folgende Fehlermeldung:
“Der Container Identitätszertifikat darf nur ein Zertifikat und den privaten Schlüssel enthalten”.
Was mache ich falsch…?
— TorstenIch glaube, ich hatte das gleich Problem. Aber dann habe ich den privaten Schlüssel und das Zertifikat getrennt aus der Keychain meines Mac Accounts exportiert und per eMail an das iPhone geschickt. Das ging dann problemlos.
— Eckart HasselbrinkDenkfehler, beim Erstellen des Zertifikates wird das Schlüsselpaar in Deinem Rechner erzeugt. Der öffentliche Schlüssel wird dann an das Trustcenter geschickt. Das Trustcenter bestätigt dann, dass dieser öffentliche Schlüssel mit der Email Adresse peter.mayer@..de verknüpft ist (kostenlose Version). Dabei wird also nur Deine Email Adresse bestätigt. Wenn Du bereit bist Geld auszugeben, wird mit dem Zertifikat auch Dein Name und eventuell Deine Adresse bestätigt.
In der DER Datei ist nur der öffentliche Schlüssel und das Zertifikat. Du konntest Mails signieren, da Du den privaten Schlüssel während der Erstellung auch im Schlüsselbund hattest.
Wenn Du dich als anderer Benutzer am Mac anmeldest und mit diesem Benutzer die DER Datei in dessen Schlüsselbund importierst, wird es nicht mehr funktionieren..
— MacAndreasDas liegt daran, dass Dein iPad dem Trustcenter von Web.de nicht vertraut. Du müsst erst die Root Zertifikate von Web.de importieren. Beim Mac ist dies einfach, wie es beim iPad geht, weiß ich nicht.
Nimm die Root Zertifikate von Web.de und sende sie Dir als Mail. Vielleicht geht es so…
— MacAndreas