Sichere Mails: iPhone-App erzeugt S/MIME-Schlüssel und Signaturen
Die kostenlose iPhone-Applikation „And You And I„, mit der ihr eigene S/MIME-Schlüssel auf dem iPhone generieren und eure E-Mails anschließend mit den passenden Zertifikaten signieren und verschlüsseln könnt, haben wir zuletzt im Januar 2014 besprochen. Jetzt meldet sich die Gratis-App mit einer großen Aktualisierung zurück.
Version 3.1 von „And You And I“ nutzt nicht mehr nur die im vergangenen Herbst eingeführte, lokale Dokumenten-Verschlüsselung, der 7MB-Download integriert nun auch Apples Fingerabdruck-Scanner Touch ID zum Entsperren der Applikation.
Zudem werden Signaturen neu erzeugter Schlüsselzertifikate jetzt grundsätzlich mit dem stärkeren SHA256-Hashalgorithmus ausgestellt. Ein Import älterer Schlüssel jetzt ebenso möglich wie die Zustellung von Schlüsseln und Zertifikaten per Mail. Eine neue Schriftart stellt Passwörter besser lesbar dar.
„And You And I“ generiert S/MIME-Schlüssel direkt auf dem iPhone und übernimmt anschließend deren Verteilung mittels E-Mails um so eine sicherer Kommunikation zwischen euch und eurem Gesprächspartner zu gewährleisten.
Die E-Mail, die „And You And I“ im Anschluss an das Erste Setup verschickt, erklärt dir Nutzung der Anwendung in zwei Absätzen.
Deine eigenen Zertifikate und Privatschlüssel. Öffne die erste Anlage in Deinem iPhone. Dabei wirst Du aufgefordert, Deinen iPhone-Gerätecode und später Dein Privatschlüssel-Passwort einzugeben.Schalte jetzt S/MIME für Dein Mailkonto ein. Öffne dazu die iPhone-Einstellungen Mail, Kontakte, Kalender und wähle Deine Mailadresse aus, und dort das Menü hinter Account. Je nach Account-Typ befindet sich die S/MIME-Konfiguration dann im ersten oder zweiten Untermenü Erweitert. Wenn S/MIME eingeschaltet wird erscheinen Menüs für Signatur und Verschlüsselung.
Schalte beide ein und wähle jeweils Dein neues Zertifikat aus. Beim Senden von Mails wird nun angezeigt, ob die Verschlüsselung für alle Empfänger möglich ist oder nicht. Warnung: Mails werden im Klartext versendet, wenn Du für einen oder mehr Empfänger nicht verschlüsseln kannst.Du kannst ab sofort Mails an Dich selbst verschlüsselt senden, probiere es am besten gleich aus.Importiere die drei weiteren Dateianlagen auf Deinem Mac oder PC, um auch dort verschlüsselte Mails versenden und empfangen zu können.
Ich fand es bislang überaus unpraktisch, dass alle kostenlosen S/MIME Zertifikate nach einem Jahr erneuert werden mussten und die Anbieter dabei grundsätzlich neue Schlüsselpaare erzeugt haben (bedeutet, entweder alten Schlüssel behalten und alte Emails nur mit Warnhinweis öffnen können oder alten Schlüssel löschen und alte Emails gar nicht mehr öffnen können).
Ich habe aber letzte Tage entdeckt, dass man bei StartCom (neuerdings?) auch für S/MIME Zertifikate einen eigenen CSR hochladen kann und damit seinen eigenen Schlüssel zertifiziert bekommt. So muss man nur noch jedes Jahr einen neuen CSR erzeugen und kann seinen Schlüssel behalten – Problem gelöst. Hoffe ich.:)
Danke für den Hinweis. Ich muss nämlich auch wieder die Zertifikate erneuern.
Hallo Frank,
Du sprichst mir aus der Seele, das jährliche Austauschen der Schlüssel und der folgende Warnhinweis haben auch bei mir dazu geführt, dass ich nicht mehr s/mime verschlüssele. Werde deinen Vorschlag mal testen. Hört sich gut an! Danke für den Tipp!
… und in einem Jahr treffen wir uns wieder hier und diskutieren darüber, ob’s geklappt hat ;-) Danke für den Hinweis!
Verwende ich seit Jahren, da mir die jährliche Suche nach den kostenlosen Level-1-Zertifikaten auf die Nerven ging (werden immer besser versteckt).
Nachteil an den self-signing-certificates: Diese werden von machen Empfängern als unsicher angesehen und teilweise sogar verworfen.
Bei Cacert.org gibt es kostenlose Zertifikate sogar mit Level 3 und man kann sie erneuern.
Einzig der Hick Hack mit dem Stammzertifikat importieren da nicht in den Standardbrowsern enthalten bleibt.
Nutze ich sei Jahren.
Ich finde CAcert unpraktisch, denn ich verlange damit von jedem Gesprächspartner, dass er CAcert vertraut und sich auf jedem Gerät das Stammzertifikat installiert. Das würde ich persönlich vielleicht für ein, zwei Leute machen und möchte es daher auch niemandem zumuten.