S/MIME Verschlüsselung mit Apple Mail und iOS

Vor einigen Jahren hab ich mal davon gehört, dass man Mails ja auch verschlüsselt verschicken kann. Das ging damals am Mac mit Apple Mail nur mit GPGMail, war aber wahnsinnig kompliziert. Auf jeden Fall hab ichs, nachdem ich eine Tage für dieses Vorhaben aufgewandt habe, nicht zum laufen bekommen ohne dass immer mal wieder mein gehacktes Mail zerschossen wurde. Darum hab ich das mit dem Mails verschlüsseln und signieren erstmal aufgegeben.

Als jetzt für Lion eine neue GPGMail-Version verfügbar war hab ich mir das auch mal wieder angeschaut. Das ging deutlich einfacher. Hat recht schnell halbwegs funktioniert. Allerdings musste ich feststellen, dass ich ja logischerweise verschlüsselte Mails nichtmehr am iPhone lesen kann. Denn MobileMail kann kein OpenGPG und lässt es sich auch nicht beibringen. Es gibt im App Store einige (hässliche) Mail-Clients die OpenGPG beherrschen, zum Beispiel Secure-Mail Secure-Mail - Felix Schulze. Aber ich bin nicht gewillt auf ein anderes Programm zu wechseln, welches zumal nicht im System verankert ist.

Bei der Recherche zu OpenGPG, iOS und Apple Mail bin ich auch auf S/MIME gestoßen. Ich hatte keine Ahnung was das ist, aber iOS unterstützt das wohl seit Version 5. Bei S/MIME handelt es sich um Secure / Multipurpose Internet Mail Extensions und ist auch ein Verschlüsselungsstandard für E-Mails. Dieser wird im Gegensatz zu OpenGPG auch von vielen Mail-Programmen von haus aus unterstützt, so auch Apple Mail und iOS.

Apple Mail:

  1. Zertifikat für die gewünschte E-Mail-Adresse besorgen. Solche Zertifikate kann man z.B. bei VeriSign für einen jährlichen Beitrag kaufen. Es gibt aber auch kostenlose Zertifikate, die sind aber nur ein Jahr gültig. Ich habe meins von TrustCenter
  2. Zertifikat herunterladen und per Doppelklick dem Schlüsselbund hinzufügen.
  3. Ab sofort sollten in Mail beim Verfassen neuer Mails Icons zum signieren und verschlüsseln auftauchen.

iOS:

  1. Zertifikat aus Schlüsselbund als *.p12-Datei exportieren. 
  2. Zertifikat auf iOS-Gerät bringen. Per Mail schicken ist einfach aber unsicher, da diese Mail abgefangen werden kann. Ist ja noch nicht verschlüsselt. Der sicherste Weg ist da vermutlich über die iPhone Configuration Utility.
  3. Datei auf iOS-Gerät öffnen und auf installieren tappen. Unter iOS wird das Zertifikat als Profil installiert. (Einsehbar unter Einstellungen -> Allgemein -> Profile)
  4. In den Einstellungen des entsprechenden Mail-Accounts unter Account -> Erweitert -> S/MIME: S/MIME einschalten.
  5. Bei Signieren und Verschlüsseln das eben importierte Zertifikat auswählen.

Allgemein gilt, dass man verschlüsselte Mails erst entschlüsseln kann wenn man den public key des Senders hat. Den bekommt man indem der Sender einem erstmal eine signierte Mail schickt. Beim Mac wird das Zertifikat des Senders dann automatisch in den Schlüsselbund übernommen. Bei iOS muss man bei der eingetroffenen Mail auf das Häkchen neben dem Absender tappen. Dann kann man das Zertifikat installieren. Wenn das erledigt ist werden neue Mails verschlüsselt versandt, sofern man den public key des Empfängers im System hat. Wenn nicht werden sie nur signiert verschickt. Wenn man auf signierte Mails antwortet werden sie grundsätzlich verschlüsselt. beides gilt für Mail und für iOS. Unter iOS muss man da aber etwas aufpassen, denn man kann beim schreibend er Mail nicht einstellen ob man verschlüsselt oder nicht versenden will. Das geht nur in den Account-Einstellungen. Man sollte sich also sicher sein ob der jeweilige Empfänger die Mail auch wirklich entschlüsseln kann.

Facebook Mails bouncen mit Apple Mail

Facebook ist jetzt auch ein E-Mail-Service bzw. will SMS, E-Mail und Instant Messaging vereinen. Das Problem ist dass Facebook so theoretisch weiß wer mit wem auch außerhalb von Facebook in Kontakt steht. Noch dazu ist die Kommunikation per Mail ja durchaus ab und an recht privat. Außerdem möchte ich jemandem der Privatsphäre für ein „veraltetes Konzept“ hält nicht blind Daten in den Rachen werfen!

Darum möchte ich weder von Facebook-Adressen angeschrieben werden, noch selbst Mails an eine solche Adresse schreiben. Gegen das angeschrieben werden kann man leider relativ wenig machen. Allerdings kann man der E-Mail-Adresse gegenüber so tun als ob die eigene Adresse nicht vorhanden ist. Also einen Fehler zurückschicken. Das nennt sich bouncen. Für Apple Mail lässt sich das relativ leicht einstellen. Einfach eine Regel einrichten die bei jeder neuen E-Mail von Facebook ein Apple Script aufruft welches die E-Mail automatisch bounct. Die Mail kommt übrigens trotzdem an.

Hier die Einstellungen:

Und das AppleScript:

using terms from application "Mail"
	on perform mail action with messages selectedMsgs
		repeat with msg in selectedMsgs
			tell application "Mail"
				bounce msg
			end tell
		end repeat
	end perform mail action with messages
end using terms from

Das Skript funktioniert übrigens natürlich auch mit jeder anderen Regel. 🙂

E-Mail-Verschlüsselung für alle vom Bund

Ab 2010 soll es ein spezielles E-Mail-Verfahren für öffentliche Ämter geben. Dieses Verfahren trägt den lustigen Namen De-Mail. Momentan sind E-Mails je nicht rechtsgültig weil sie auf dem Weg vm Sender zum Empfänger manipuliert, eingesehen, gelöscht, ersetzt und so weiter werden können. De-Mail wird verschlüsselt und sicher sein. Das soll z.B. über digitale Zertifikate und eine lückenlose Verschlüsselung gewährleistet werden. Diese Möglichkeiten bestehen heute schon. Allerdings werden sie selten genutzt, und werden von vielen E-Mail-Programmen nicht von Haus aus unterstützt. Außerdem muss man sich für De-Mail mit offiziellen Personalausweis-Daten registrieren.

Finanziert soll das ganze vermutlich über ein sogenanntes e-Porto werden. Also man zahlt dann wie für Briefe auch für jede einzelne De-Mail. 

An der Umsetzung dieser Datenschutzoffensive ist federführend das Innenministerium zusammen mit der Deutschen Telekom, der Deutschen Post und der T-Systems beteiligt. Hm… Innenministerium, Telekom, Datenschutz? War da nicht mal was? Ist es nicht das Innenministerium selbst dass Online-Durchsuchungen anstrebt? Und ist es nicht die Telekom die seine Mitarbeiter ausspioniert? Das wirkt doch sehr vertrauenswürdig.

Also so grundsätzlich finde ich es eine gute Sache, dass man verschlüsselte E-Mails endlich mal dem Mainstream zugänglich und damit auch ernsthaft benutzbar macht. Aber wenn das übers Innenministerium läuft kommt mir das etwas spanisch vor. Muss man noch beobachten wer diese De-mail dann alles anbieten darf. Ob das nur die Telekom ist, oder auch andere E-Mail-Provider. Und wie die eigenen Daten vor dem Staat geschützt sind. Außerdem ist die grundsätzliche Technik die dahinter steckt ja auch schon jetzt möglich. Sie wird nur von niemandem genutzt. Ist auch irgendwie logisch, denn verschlüsselte Mails kann man nur öffnen wenn man sie auch entschlüsseln kann. Und das alles ist nicht soo einfach in Mailprogramme einzubauen. Aber theoretisch sollten die Mailprogramme ja ab 2010 ja diese Technik mitbringen damit man De-Mail überhaupt nutzen kann. Das heißt im Umkehrschluss dass auch Verschlüsselung über den herkömmlichen Weg ohne De-Mail mit Mail-Programmen sofort genutzt werden kann ohne irgendwelche Plugins o.ä. zu installieren. Das ist ja dann auch wieder ein positiver Nebeneffekt.

Was mir Angst macht ist, dass bei Wikipedia steht

Die Nutzung des Dienstes durch die Bürger soll zunächst freiwillig bleiben.

Heißt das langfristig wird geplant das verpflichtend zu machen? Also so dass amtliche Post nur noch über De-Mail verschickt wird? Das fänd ich ja doof. Normale Briefe sollten ja sowieso nicht aussterben, auch nicht zu diesem Zweck. Dem Bürgen sollte schon noch eine Wahl gelassen werden!

Ich bin gespannt wie sich das entwickelt und es umgesetzt wird.

Quellen:
Wikipedia
tagesschau.de