S/MIME

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard für die Verschlüsselung und Signatur von MIME-gekapselter E-Mail durch ein hybrides Kryptosystem.

Funktion [Bearbeiten]

S/MIME definiert zwei Content-Types für MIME. Das Multipart/Signed-Format zur Signierung einer Mail und das Multipart/Encrypted-Format zu deren Verschlüsselung. S/MIME wird von den meisten modernen Mailclients unterstützt. Es erfordert X.509-basierte Zertifikate für den Betrieb. Als Alternative zu S/MIME kann auch OpenPGP unter Verwendung einer PKI eingesetzt werden. Die beiden Verfahren sind allerdings nicht kompatibel, auch wenn sie teilweise die gleichen Verschlüsselungsverfahren einsetzen, da sie unterschiedliche Datenformate verwenden - hier ist meist üblich: PGP/INLINE oder PGP/MIME.

Multipart/Signed [Bearbeiten]

Das Format enthält genau zwei Blöcke. Der erste enthält die Daten, inklusive des MIME-Headers, über welche die digitale Signatur erstellt wurde. Der zweite enthält die Informationen, um die Signatur zu überprüfen. Die Mail bleibt dadurch auch für Mailclients, die kein S/MIME unterstützen, lesbar.

Multipart/Encrypted [Bearbeiten]

Das Format enthält ebenfalls genau zwei Blöcke. Der erste enthält benötigte Informationen zur Entschlüsselung. Im zweiten Block sind die verschlüsselten Daten enthalten. Der Mailrumpf ist komplett verschlüsselt und kann somit nur vom vorgesehenen Empfänger gelesen werden. Damit ist auch ein Scannen auf Viren und Spam erst auf dem Endgerät möglich. Die Mailheader (auch das Subject) sind dagegen weiterhin unverschlüsselt und sollten daher keine vertraulichen Informationen enthalten. Zusätzlich muss natürlich dem Sender der Public Key des Empfängers bekannt sein.

Klassifizierung der Zertifikate [Bearbeiten]

Die Anbieter von Zertifikaten für sichere E-Mail-Kommunikation klassifizieren diese meist in drei Klassen. Dabei sichert bei Klasse 1 die Certification Authority die Echtheit der E-mail-Adresse zu und nur diese ist Teil des Zertifikats. Bei Klasse 2 wird zusätzlich der zur E-mail-Adresse gehörende Name in das Zertifikat mit aufgenommen, sowie die Organisation/Firma. Diese Daten werden mithilfe von Drittdatenbanken und Ausweiskopien verifiziert. Bei Klasse 3 Zertifikaten muss der Antragsteller sich persönlich ausweisen.

Kostenfreier Zugang [Bearbeiten]

CAcert und andere Organisation bieten kostenlose S/MIME-Zertifikate an. Es können dabei nach einer Registrierung mehrere Zertifikate erstellt werden, die aber erst nach einer gewissen Anzahl von Identitätsnachweisen den Namen beinhalten. Diese können durch Mitglieder in einem Web of Trust oder anderen vertrauenswürdigen Stellen wie Rechtsanwälten oder Wirtschaftstreuhändern erfolgen. CAcert ist jedoch in vielen E-Mail-Clients und Webbrowsern noch nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungsstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert. Ein Benutzer, der eine Verbindung zu einem Server mit CAcert-Zertifikat aufbaut, wird daher eine Meldung erhalten, dass die Herkunft des Zertifikates nicht überprüft werden konnte.

Weiterhin werden kostenlose Zertifikate der Klasse 1 mit reduzierter Gültigkeitsdauer von vertrauenswürdigen Firmen angeboten, welche im Gegensatz zu CAcert auch in den Zertifikatsdatenbanken gängiger Software als vertrauenswürdig gelistet werden. Beispiele für diese meist für den Privatgebrauch gedachten Zertifikate sind:

• Start SSL als StartSSL Free^[1] (1 Jahr Gültigkeit)
• InstantSSL by Comodo als Free Secure Email Certificate^[2] (1 Jahr Gültigkeit)
• GlobalSign als Free Trial PersonalSign 1 Certificate^[3] (30 Tage Gültigkeit)
• Symantec (Verisign) als Digital IDs for Secure Email^[4] (25 Tage Gültigkeit)

Außerdem ist es auch möglich Nachrichten mit einem selbsterstellten Zertifikat zu verschlüsseln.

Siehe auch [Bearbeiten]

• Digitales Zertifikat
• Digitale Signatur
• Elektronische Signatur
• Secure Messaging
• PGP/INLINE
• PGP/MIME

Spezifikationen [Bearbeiten]

• RFC 1847 Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted
• RFC 2633 S/MIME Version 3 Message Specification
• RFC 3851 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification
• RFC 5751 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Message Specification

Weblinks [Bearbeiten]

• S/MIME IETF Working Group
• S/MIME IETF Status Page
• Anleitung zum Verschlüsseln von Epost in Thunderbird; noch eine Anleitung
• MozillaZine Knowledge Base - Getting an SMIME certificate
• Global TrustPoint - Trustcenterunabhängige Metasuchmaschine für X.509 Zertifikate
• S/MIME vs. OpenPGP: Eine Entscheidungshilfe

Einzelnachweise [Bearbeiten]

1. ↑ StartSSL Free http://www.startssl.com/?app=1
2. ↑ InstantSSL FREE Secure Email Certificate http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html
3. ↑ GlobalSign PersonalSign Produkte https://www.globalsign.com/de-de/personalsign/
4. ↑ Symantec Digital IDs for Secure Email http://www.symantec.com/verisign/digital-id