Apple

E-Mails signieren und verschlüsseln

Foto eines Briefkastens
Hinweis vom April 2019

Obwohl der Artikel schon etwas älter ist, funktioniert die beschriebene Vorgehensweise grundsätzlich auch mit aktuellen Versionen von macOS und iOS.

Der Internet-Standard für E-Mails ist alt, sehr alt, deutlich älter als das Web. Mit E-Mails haben wir daher viele Probleme, zwei davon wollen wir heute angehen. Ein Problem ist, dass wir nicht wissen, ob der Absender wirklich der Absender ist. Die entsprechenden Header sind sehr leicht zu fälschen. Ein anderes Problem ist, dass die Nachrichten selbst nicht verschlüsselt sind. Teile der Transportwege sind heutzutage zwar verschlüsselt, aber nicht alle und nicht die Ablage auf den Mail-Servern. E-Mails haben daher – wenn wir den Vergleich zur realen Welt ziehen (also da, wo der Pizzamann immer herkommt) – im Prinzip Postkarten-Charakter.

Die Lösung für beide Probleme unter OS X und iOS lautet S/MIME, ein Standard für E-Mail-Signatur und -Verschlüsselung. Es existiert ein weiterer Standard PGP/GPG, dessen Einsatz jedoch zumindest unter Lion problematisch und unter iOS nicht möglich ist, daher wird es hier ausschließlich um S/MIME gehen.

Um S/MIME einzusetzen brauchen wir für jede E-Mail-Adresse ein Zertifikat. Ein kostenloses Zertifikat können wir z.B. von Comodo bekommen. Nach dem Ausfüllen des recht kurzen Formulars bekommen wir alle weiteren Infos zum weiteren Prozedere per E-Mail:

Screenshot der Zertifikatsbestellung bei Comodo

Mit dem festzulegenden „Revocation Password“ können wir das Zertifikat widerrufen (falls wir z.B. glauben, es wäre kompromittiert worden). Ich habe mir das Kennwort als sichere Notiz in 1Password eingetragen.

Mit Hilfe der E-Mail, welche wir von der Zertifizierungsstelle bekommen, können wir das Zertifikat auf dem Mac herunterladen. Es handelt sich um eine Datei mit der Endung „.p7s“. Durch Doppelklick dieser Datei importieren wir das Zertifikat in die Schlüsselbundverwaltung. Bei dieser handelt es sich um eine mitgelieferte App im Ordner Programme/Dienstprogramme.

Screenshot der Schlüsselbundverwaltung

Nach Neustart der Mail-App stehen im Nachrichten-Editor in der Von-Zeile rechts zwei neue Schaltflächen zur Verfügung (verschlüsseln und signieren). Signieren geht immer (sollten wir künftig auch immer machen), verschlüsseln geht nur, wenn uns der Empfänger schonmal eine signierte E-Mail geschickt hat. In diesem Fall speichert Mail.app automatisch die Signatur unseres Kontakts und verwendet diese für künftige Verschlüsselungen:

Screenshot der Mail-App

Wenn wir selber verschlüsselte oder signierte E-Mails erhalten kennzeichnet Mail.app das entsprechend. Verschlüsselte Nachrichten werden für uns automatisch entschlüsselt.

Screenshot der Kennzeichnung von E-Mails in der Mail-App

Nun müssen wir iOS noch mit unserem Zertifikat versorgen. Als Beispiel nehme ich dazu ein iPhone, auf dem iPad ist die Vorgehensweise analog. Zuerst müssen wir das Zertifikat in ein Format exportieren, welches das iPhone importieren kann. Dazu brauchen wir wieder die Schlüsselbundverwaltung. Dort markieren wir den Eintrag mit der E-Mail-Adresse und dem zugehörigen privaten Schlüssel und klicken auf Ablage > Objekte exportieren… Wir speichern die Datei im „.p12“-Format:

Screenshot des Zertifikatexports in der Schlüsselbundverwaltung

Dabei müssen wir ein Kennwort festlegen, welches diese Datei schützt:

Screenshot der Kennwortvergabe in der Schlüsselbundverwaltung

Außerdem müssen wir den Export mit unserem Anmeldekennwort autorisieren:

Screenshot der Eingabe des Anmeldekennworts

Nun schicken wir diese Datei per E-Mail an unser iPhone:

Screenshot der E-Mail mit dem Zertifikat

Wir tappen auf den Anhang:

Screenshot der Zertifikatsinstallation auf dem iPhone

Danach 2x auf „Installieren“ (es kommt eine Sicherheitsabfrage, die darauf hinweist, dass das Zertifikat nicht signiert ist, was in diesem Fall OK ist). Jetzt werden wir nach dem Sperrcode des iPhones gefragt:

Screenshot der Sperrcode-Eingabe auf dem iPhone

Danach nach dem Kennwort, mit dem wir das Zertifikat zuvor auf dem Mac geschützt haben:

Screenshot der Kennworteingabe für das Zertifikat auf dem iPhone

Nun ist das Zertifikat installiert. Jetzt müssen wir in die Einstellungen des betreffenden E-Mail-Kontos gehen (Einstellungen-App > Mail, Kontakte, Kalender > betreffende E-Mail-Adresse). Auf diesem Bildschirm tappen wir unten auf „Erweitert“ und scrollen wieder nach ganz unten:

Screenshot der erweiterten Mail-Einstellungen auf dem iPhone

Dort schalten wir „S/MIME“ ein und können nun festlegen, ob Mails signiert bzw. entschlüsselt werden sollen:

Screenshot der aktivierten S/MIME-Konfiguration in den Mail-Einstellungen auf dem iPhone

Abschließend gehen wir einen Bildschirm zurück und speichern die Änderungen mit Hilfe des Buttons „Fertig“ oben rechts. Es gibt leider nur diese globale Einstellung. Wir können das nicht wie auf dem Mac für jede E-Mail individuell machen. Die iOS-Mail-App speichert auch keine Zertifikate von Absendern automatisch. Wir müssen auf den Absender tappen und dann auf „Zertifikat anzeigen“. Nun können wir das Absender-Zertifikat sichern, was uns die Übermittlung verschlüsselter Nachrichten an diese Person erlaubt.

Das war’s. Sollten wir mehrere E-Mail-Adressen auf Mac und iPhone nutzen, sind alle genannten Schritte entsprechend zu wiederholen.

Über den Autor

Markus Jasinski

Markus Jasinski ist ein Rostocker Unternehmer, Naturwissenschaftler, IT-Spezialist, Autor, Dänemark-Fan, überzeugter Radfahrer und nicht zuletzt „Computer Geek“ und Smart-Home-Enthusiast. Sein erstes iPhone kaufte der promovierte Naturwissenschaftler im Jahre 2008, kurze Zeit später wurde er dann auch zum Mac-Nutzer. Nach und nach gesellten sich iPad, Apple TV und Apple Watch hinzu.

Um diese vielfältigen Interessen und Aktivitäten "unter einen Hut" zu bekommen befasst sich der gebürtige Westfale seit über zehn Jahren mit den Themen Selbstorganisation und Aufgabenmanagement, die ebenfalls ein Schwerpunkt dieses Blogs sind.

Kommentar schreiben

Alle Kommentare werden moderiert und nur freigeschaltet, wenn sie diesen Regeln entsprechen. Seid bitte nett zueinander!

All comments are reviewed and manually unlocked. Comments that do not refer to the article, are not written in German or contain advertising will be deleted.