Sicherer Mailverkehr (Zertifikat und Co)

[Lordofthematrix]

Moin,

ich bin seit einiger Zeit am Suchen von Informationen, wie ich meinen Mailverkehr sicherer machen kann.

Kurz eine Einsicht in meine bisherigen Ergebnisse:
Durch ein Zertifikat, dass ich von einem externen Dienstleister bekomme, kann ich Dritten gegenüber bestätigten, dass die Mail auch tatsächlich von mir kommt. Wenn ich meine Mail verschlüsseln will, brauche ich noch einen privaten und öffentlichen Schlüssel. Den privaten behalte ich selber und den öffentlichen Schlüssel muss ich an die Empfänger senden von denen ich möchte, dass diese später meine verschlüsselten Mails entziffern können. Ist dies so bisher richtig?

Nun habe ich gelesen, dass bis vor einiger Zeit Apple für .mac Kunden ein Identitäts-Zertifikat für den Mailverkehr angeboten. Da dieses Angebot scheinbar nicht mehr besteht, frage ich mich, wo ich sonst so ein Zertifikat herbekommen könnte?
Ähnlich verhält es sich bei den Schlüssel. Die bisherigen Angebote, die ich im Internet gesehen habe, bezogen sich alle nur auf Geschäftskunden.

Mein Hintergrund ist einfach, dass fast mein kompletter Schriftverkehr mit Steuerberater und Bank per Mail läuft. Und hier möchte ich halt einerseits für mich und andererseits für die Bank und den Steuerberater ein bisschen mehr Sicherheit in den Schriftverkehr einführen.

Freue mich auf jeden Tipp.

 

[philz]

Derzeit gibt es zwei gängige Standards für die Verschlüsselung und Signatur von E-Mails. S/MIME und OpenPGP. S/MIME ist mittlerweile fester Bestandteil in nahezu allen gängigen E-Mail Clients und teilweise wird dies auch bei Webmail-Providern, wie z.B. web.de, als Feature angeboten.
Welchen Standard man letztendlich einsetzt (um die technischen Aspekte zunächst beiseite zu lassen) richtet sich u.a. nach deinem Gesprächspartner (in deinem geschilderten Fall: dein Steuerberater, deine Bank etc.), denn S/MIME und OpenPGP sind nicht miteinander kompatibel.
Solltest du dich für S/MIME entscheiden, dann findest du bspw. bei www.cacert.org , www.startssl.com usw. kostenlose Anbieter von Zertifikaten. Die Wahl des Anbieters ist eine Vertrauensfrage, denn dieser stellt schließlich deinen Schlüssel aus und bewahrt selbigen für dich auf. Im Gegensatz zu S/MIME erstellt man bei OpenPGP die Schlüssel selbst.

 

[rechnerteam]

Hier schon reingelesen? Wikipedia über GNU Privacy Guard Dort findest Du auch Hinweise zu den Schlüsseln.
Hier gibt es Infos zu Zertifikaten, Kryptographie, etc. für Alle, also auch Privatleute.

 

[berbel01]

Ich bin vor 2 Tagen verzweifelt mir meine E-Mails zu Zertifizieren und zu verschlüsseln... Dieser "Schlüssel", der in das Mailprogramm intrigiert werden "soll" wurde nicht erkannt...
Jetzt habe ich einfach die SSL Verschlüsselung von meinem E-Mailanbieter genommen.
Meine Daten sollen ja eh alle gespeichert werden und dann ist es Wurst in meinen Augen ob ich mir die Mühe mache.

 

[philz]

Bei S/MIME und OpenPGP wird die E-Mail selbst verschlüsselt, so dass die Nachricht von Absender bis Empfänger verschlüsselt bleibt. D.h. selbst der Admin des E-Mail-Providers, ein mutmaßlicher Hacker, der bspw. über eine Webmail-Oberfläche Zugriff auf die E-Mails erlangt hat, oder auch ein einfacher Dieb des Laptops können die verschlüsselten Nachrichten nicht lesen.

Die erwähnte "SSL-Verschlüsselung" ist keine End-to-End Verschlüsslung. Hierbei wird lediglich die Verbindung zum eigenen E-Mail-Provider verschlüsselt, d.h. lediglich der Transport zum eigenen Mailserver. Danach wird die E-Mail i.d.R. durch eine ungesicherte Verbindunge zum Mailserver des Empfängers weitergeleitet.
Dennoch sollte SSL immer verwendet werden, da sonst Accountname sowie Kennwort unverschlüsselt übertragen werden, was besonders an öffentlichen Hotspots gefährlich ist.

Kurz: SSL-Verschlüsselung der Verbindung zum Mailserver und Verschlüsselung von E-Mails mittels OpenPGP oder S/MIME sind zwei verschiedene Paar Schuhe. Bitte keine Flip-Flops mit Gummistiefeln vergleichen.

 

[berbel01]

Kurz: SSL-Verschlüsselung der Verbindung zum Mailserver und Verschlüsselung von E-Mails mittels OpenPGP oder S/MIME sind zwei verschiedene Paar Schuhe. Bitte keine Flip-Flops mit Gummistiefeln vergleichen.

Vielleicht kennst du den richtigen Weg, damit ich den Schlüssel in das Mail Programm bekomme?
Ich habe bestimmt einen halben Tag vergeblich versucht es hinzu bekommen

 

[philz]

Das ist schon eine Weile her, aber ich glaube, mit einem Doppelklick auf die Datei mit der Endung ".p12" ist schon alles getan.
Danach sollte der öffentliche sowie private Schlüssel aus der Datei automatisch in den Schlüsselbund importiert werden. Möglicherweise folgt auch noch ein Dialogfenster, dass nur bestätigt werden muss. Mail.app muss am Ende neugestartet werden.
Wichtig ist nur, dass in dem Zertifikat die E-Mail-Adresse enthalten ist, damit Mail.app den entsprechenden Schlüssel findet.

Von welchem Anbieter hast du denn dein Zertifikat?

 

[Lordofthematrix]

Solltest du dich für S/MIME entscheiden, dann findest du bspw. bei www.cacert.org , www.startssl.com usw. kostenlose Anbieter von Zertifikaten. Die Wahl des Anbieters ist eine Vertrauensfrage, denn dieser stellt schließlich deinen Schlüssel aus und bewahrt selbigen für dich auf. Im Gegensatz zu S/MIME erstellt man bei OpenPGP die Schlüssel selbst.

Bist du dir Sicher was die Vertrauenswürdigtkeit von Cacert angeht? Sobald ich tiefer auf deren Homepage gehe als die Startseite, zeigt mir Firefox eine Wahnung an, dass die folgenden Seiten unsicher seien. Bei Startssl blicke ich noch nicht ganz durch, aber das wird wohl noch.

Bezgl. der verwendeten Verfahren bei meinen Bekannten muss ich mich mal erkundigen.

 

[philz]

Die Warnung von Firefox kommt daher, weil der Browser nicht mit den Root-Zertifikaten von CAcert.org ausgeliefert wird.
In Firefox sind überwiegend Root-Zertifikate von kommerziellen Anbietern, wie z.B. VeriSign, Thawte, GlobalSign, TC Trustcenter usw. von Haus aus enthalten.
Bei CAcert.org handelt es sich um einen nicht-kommerzielle Zertifizierungsdienstanbieter, der von einer Community betrieben wird und für jedermann kostenlose Zertifikate ausgibt. CAcert.org ist sozusagen eine kostenlose Alternative gegenüber den kommerziellen Anbietern. Für personalisierte Zertifikate wurde eigens ein "Web-of-Trust" eingerichtet. Vor kurzer Zeit konnte man auch Zertifikate für den privaten Gebrauch kostenlos vom kommerziellen Anbieter Thawte beziehen, aber dieses Angebot wurde eingestellt.

Was CAcert.org angeht: Ich denke schon, dass man diesem Anbieter trauen kann. Selbst der immer (?) auf Sicherheit bedachte Chaos Computer Club nutzt Zertifikate von CAcert.org für seine eigene Webpräsenz (https://www.ccc.de). Zur Not kannst du auch ein paar Euro beim kommerziellen Anbieter ausgeben...
Damit dein Firefox bei der Überprüfung keine Fehlermeldung wegen Fehlens der Root-Zertifikate von CAcert.org ausgibt, kannst du auch manuell die Root-Zertifikate von CAert.org in Firefox importieren (idealerweise auch in den Schlüsselbund von Mac OS X).
Die beiden notwendigen Zertifkate gibts hier: http://www.cacert.org/index.php?id=3

Noch eine kleine Anmerkung: Wie du siehst, führen CAcert.org zu einer Fehlermeldung, die besagt, dass die Zertifikate aufgrund der fehlenden Root-Zertifikate nicht überprüft und somit deren Vertrauenswürdigkeit nicht überprüft werden kann. Dies sagt aber nichts über die tatsächliche Vertrauenswürdigkeit aus. Aus diesem Grund sollte man bedenken, dass weniger erfahrene Benutzer vielleicht ähnlich wie du selbst die Sache erstmal als unsicher einschätzen, obwohl sich die Fehlermeldung primär mangels Überprüfbarkeit auf die fehlenden Zertifikate bezieht.

 

[Lordofthematrix]

Ich danke dir. Da ich bisher (fast) nur gutes vom ccc gehört habe, ist das ein sehr schlagkräftiges Argument!

Wie kommt das denn eigentlich, dass FF nur mit Zertifikaten von kommerziellen Anbietern ausgeliefert wird? Bekommt Mozilla dafür finanzielle Vergütungen oder hat das andere Gründe?
Und gleich noch eine Frage hinten ran: Gibt es auch Zertifikate von kommerziellen Anbietern im Preisrahmen von 50-70€ im Jahr und habe diese Vorteile gegenüber Zertifikaten von freien Anbietern?

 

[philz]

Nein, ich glaube nicht, dass Mozilla hierfür eine finanzielle Vergütung erhält. Soweit ich das mitbekommen habe, sind die Jungs von CAcert.org schon lange in Gesprächen mit Mozilla. Zur Aufnahme in die Mozilla Produkte müssen aber entsprechend strenge Auflagen erfüllt werden. Näheres dazu kannst du auf http://wiki.cacert.org/InclusionStatus nachlesen. Ich habe das bisher nicht verfolgt, da ich die Zertifikate schon vor langer Zeit manuell importiert habe.

Mit den kostenpflichtigen Zertifikaten habe ich bisher noch keine Erfahrungen, aber für den privaten Gebrauch bekommst du die schon ab 10-20 EUR im Jahr. Der Vorteil gegenüber kostenlosen Alternativen besteht darin, dass neben deiner E-Mail-Adresse auch dein Name im Zertifikat eingetragen wird, was bei den kostenlosen Alternativen meist nur durch das Web-of-Trust möglich ist. Dabei müssen deine Personalien von anderen, oft sog. WoT-Notaren, bestätigt werden.
Ein weiterer Vorteil ist, dass eben die Root-Zertifikate von kommerziellen Anbietern meist in allen gängigen Betriebssystemen und bei sonstiger Software mitgeliefert werden (war z.B. früher bei den kostenlosen Zertifikaten von Thawte ganz gut).

PS: Im gewerblichen Rahmen würde ich mich an die Liste der Bundesnetzagentur halten, denn diese Anbieter erfüllen die gesetzlichen Bedingungen, damit die Zertifikate auch als qualifizierte elektronische Signatur anerkannt werden (bspw. in Bezug auf Rechnung per Mail und Umsatzsteuer). http://www.bundesnetzagentur.de/cln...ieter/ZertifizierungsDiensteAnbietr_node.html

 

[Lordofthematrix]

Danke. Ich hatte mir die Liste der Anbieter auf der Seite der Bundesnetzagentur bereits angesehen. Ich würde S-Trust in Betrachtung ziehen, da ich selber bei der Sparkasse bin. Kannst du irgendwas von denen berichten?
Allerdings habe ich noch einen Zweifel ob das funktioniert, denn auf der Seite von S-Trust steht überall, dass auf jedenfall ein Windows-basierter PC notwendig wäre. Ich frage mich allerdings warum das nicht auch mit meinem Mac funktionieren sollte.

 

[Andy.321]

Du willst kein Zertifikat von einem freien Anbieter, sondern von VeriSign oder Thawte. Auf jeden Fall sollte das Root Zertifikat des Anbieters im Schlüsselbund vorinstaliert sein, da sonst, wie oben besprochen, Dein Kunde/Gegenüber eine Fehlermeldung bekommt.

Du bekommst bei allen Großen ein eMail Zertifikat, bei manchen sogar kostenlos. Allerdings, wenn es kostenlos ist, dann wird meistens nur die eMail Adresse beglaubigt und nicht Dein Name. Dies geschieht dadurch, dass zur Abhooung des Zertifikates eine Mail an die Adresse geschickt wird. Für (mglw. weit unter) €100 gibt es aber Zertifikate, die auch Deinen Namen beglaubigen.

Zur Technik: wie bei PGP wird ein Schlüsselpaar bestehend aus einem öffentlichen und einem privaten Schlüssel verwendet. Dazu kommt nun das Zertifikat, das einerseits bestätigt, wer Du bist und andererseits impliziert, das es echt ist (durch das Root Zertifikat, dem Dein Gegenüber vertraut). Freundlicher Weise verschickst Du automatisch Deinen öffentlichen Schlüssel, wenn Du eine Mail signierst

 

[Andy.321]

S-Trust verwendet Karten und Kartenleser, deren Software offiziell nur unter Windows läuft. Allerdings kenne ich jemanden, der seine Kontogeschäfte mit dem Kartenleser unter Linux erledigt. Es kann also sein, das es unterstützt wird. Suche mal bei Google nach opensc

 

[philz]

Ich würde S-Trust in Betrachtung ziehen, da ich selber bei der Sparkasse bin. Kannst du irgendwas von denen berichten?

Wie gesagt, mit kommerziellen Anbietern habe ich keinerlei Erfahrung, aber ich habe mich eben auf www.trustcenter.de umgeschaut und dort erhält man mittlerweile auch kostenlose Zertifikate für den privaten Gebrauch: https://www.trustcenter.de/products/tc_internet_id.htm
Vielleicht ist das was für dich. Die Root-Zertifikate von TC Trustcenter GmbH sind zumindest in Mac OS X und Firefox enthalten, wird in der Liste der Bundesnetzagentur und im österreichischen Informationssicherheitshandbuch erwähnt und dürfte somit eine hohe Verbreitung haben.

 

[Andy.321]

Scheinbar bietet Thawte keine Emailzertifikate mehr an, zumindest konte ich nichts finden. Bei TC TrustCenter gibt es das Zertifikat für knapp €35. Ist dann sogar drei Jahre gültig. Heißt TC Personal ID, überprüft aber nur die eMail Adresse (ist aber für geschäftliche Nutzung erlaubt). Für €69 gibt es die Business ID, die dann auch Handelsregister oder Ausweis überprüft

 

[philz]

Scheinbar bietet Thawte keine Emailzertifikate mehr an, zumindest konte ich nichts finden. Bei TC TrustCenter gibt es das Zertifikat für knapp €35. Ist dann sogar drei Jahre gültig. Heißt TC Personal ID, überprüft aber nur die eMail Adresse (ist aber für geschäftliche Nutzung erlaubt). Für €69 gibt es die Business ID, die dann auch Handelsregister oder Ausweis überprüft

TC Internet ID ist für Privatleute gedacht und völlig kostenfrei.

 

[Andy.321]

Stimmt, irgendwie bin ich davon ausgegangen, dass es sich um geschäftlichen Mailverkehr handelt...

 

[philz]

Wobei TC Trustcenter den E-Mail-Verkehr bzw. die Verwendung des Zertifikats sowieso nicht nachvollziehen kann... Entscheidend zwischen TC Internet ID und TC Business ID ist der Wunsch bzw. die Notwendigkeit des Organisationsnamens im Zertifikat, denke ich.

 

[Mocsew]

Ich selbst nutze auch eine "kostenpflichtige" Variante mit Karte & Co. Ich bin zwar auch bei der Sparkasse, aber dort gab es für Mac-User wenig Interessantes. Somit ging ich zur Deutschen Post und kaufte ein Signtrust-Paket inkl. Karte und Reiner SCT secoder. Die Karte ist für 5 Jahre gültig - das ganze Set kostete brutto irgendwas um die 230 EUR. Die Software (Sign Live CC) läuft bestens unter OS X und man kann mit Thunderbird auch Mails signieren. Letzteres nutze ich jedoch nicht, da ich ziemlich auf Apple Mail eingeschossen bin. Aber auch hier gibts Mittel und Wege, wie z.B. das bereits erwähnte GPG (läuft bei mir ebenfalls problemlos). Das Signtrust-Paket nutze ich hingegen nur zum Signieren von Dokumenten.