E-Mail-Verschlüsselung via S/MIME auf dem iPhone

von

Einleitung

E-Mails sind offen wie Postkarten. Jeder mit nur wenigen technischen Kenntnissen kann E-Mails abfangen und unbemerkt von Sender und Empfänger lesen. In unserer Gutgläubigkeit gingen wir jedoch immer davon aus, dass niemand so etwas tun würde.

Seit dem NSA-Überwachungsskandal wissen wir jedoch: es geschieht. Tagtäglich und weltweit werden E-Mails abgefangen und automatisiert analysiert. Die Gesprächsverläufe, also wer wann wem eine E-Mail geschrieben hat, werden zusammen mit der Betreffzeile sogar bis in alle Ewigkeit gespeichert. Der E-Mail-Inhalt „lediglich“ sechs Monate.

Wenn man sich die Liste der verdächtigen Wörter (Quelle: SZ), nach denen die NSA sucht anschaut, gilt auch nicht mehr die Aussage „ich habe nichts zu verheimlichen“:

„Cyberattacke“, „Hacker“, „Selbstmordattentäter“, „Terror“, „Bombe“, „Taliban“, „Nuklear“, „Chemische Waffe“, „U-Bahn“, „krank“, „elektrisch“, „Schwein“, „Schnee“, „Blitz“, „Heilung“, „Grenze“, „Welle“, „Wolke“, „Symptome“, „Grippe“, „Antwort“, „Telekommunikation“, „Rotes Kreuz“

Wie man sieht kann man schnell auf die Zielscheibe der Geheimdienste geraten. Folgen können Einreiseverbote oder eine detaillierte Überwachung bis hin zum Besuch von Polizei und Verfassungsschutz sein.

Klar bedeutet das nicht, dass aufgrund einer abgefangenen E-Mail, in der man beispielsweise (und völlig harmlos gemeint) schreibt „Wenn ich heute krank ins Büro gehe, löse ich bestimmt eine Grippe-Welle aus, die selbst das Rote Kreuz überfordern würde.“ gleich eine Anfrage beim Provider nach dem Nutzer der Internetverbindung auslöst und wenig später der Verfassungsschutz auf der Matte steht. Aber uns sollte spätestens jetzt bewusst sein, dass unsere gesamte Kommunikation überwacht wird:

  • Briefumschläge werden abfotografiert (damit sicher sowieso Postkarten)
  • Standortdaten/Bewegungsdaten des Handys werden gespeichert
  • E-Mails gescannt und in Datenbanken gesichert (alle!)
  • SMS analysiert
  • Telefonanrufe (egal ob Mobil- oder Festnetz) werden nach Wörtern durchsucht, ggf. aufgezeichnet
  • Soziale Netzwerke (Facebook, Twitter, Google+) werden überwacht

Klar hat diese maßlose Überwachung auch seine Vorteile – und die werden uns dieser Tage ja zuhauf von den Behörden versucht schmackhaft zu werden aber aufgrund der aktuellen Nutzungrealität von E-Mails und dem fest verankerten Selbstverständnis das Briefgeheimnis würde auch für E-Mails gelten, halte ich es für sinnvoll, dass wir jetzt endlich anfangen unsere E-Mails konsequent zu verschlüsseln.

Dazu gibt es viele verschiedene Methoden; allen voran PGP, welches ich seit dem Jahre 2001 nutze. Aber eben leider nur ich. Mein Ausflug zu GPG, der quellcodeoffenen Variante von PGP lief genauso ab. Niemand außer mir nutzt es.

Und es ist unbequem: mit PGP/GPG verschlüsselte E-Mails sind nur an dem Rechner lesbar, der die Software installiert hat und wo man Zugriff auf die privaten und öffentlichen Schlüssel hat. In Zeiten von Smartphones ist das natürlich nicht der Fall und wer möchte seine Freiheit schon unnötig einschränken und darauf verzichten E-Mails auch unterwegs zu lesen?

S/MIME bietet da eine bequeme Alternative: denn S/MIME ist bereits in iOS integriert und Zertifikate zur Verschlüsselung im privaten Bereich sind kostenlos erhältlich.

Einmal eingerichtet, merkt man nichts mehr von der Verschlüsselung und kann wie gewohnt E-Mails lesen und schreiben  – die Verschlüsselung arbeitet vollständig im Hintergrund und hat man die Zertifikate auch im E-Mail-Programm zu Hause eingerichtet (Beitrag dazu folgt) hat man keine Einschränkungen mehr und kommuniziert trotzdem sicher.

Alles was die Geheimdienste dann noch lesen können sind die Header der E-Mail, die auch Metadaten genannt werden. Darunter: Absdender, Empfänger, Zeitstempel, Betreffzeile, Weg den die E-Mail durch’s Netz genommen hat. Der Inhalt aber bleibt im Verborgenen.

Folgend nun eine Anleitung, wie man ein S/MIME-Zertifikat erstellt und auf dem iPhone installiert. Ich habe versucht die Anleitung so kurz wie möglich zu halten und verzichte wo es geht auf die technischen Hintergründe und hoffe, dass so jeder in der Lage ist sich ein Zertifikat zu erstellen.

S/MIME auf dem iPhone

Zertifkat erstellen

Nach einigen Recherchen habe ich mich für meine Zertifikate für den Anbieter StartCom entschieden, der mit seinem Produkt StartSSL kostenlose S/MIME-Zertifikate nahezu automatisiert bereitstellt, die jeweils für ein Jahr gültig sind (danach kann man per Mausklick verlängern und installiert lediglich einmal das neue Zertifikat).

So gehst Du vor:

  1. gehe im Firefox-Browser zu http://www.startssl.com
  2. wähle aus dem Menü den Knopf „Control Panel
  3. starte die Generierung mit einem Klick auf den Knopf „Express Lane
  4. durchlaufe den Assistenten, bis das Zertifikat erfolgreich im Browser installiert wurde (dazu sind ein paar Authentifizierungsschritte notwendig, Du erhältst dazu ein paar E-Mails mit Bestätigungs-Codes)
  5. ich empfehle einen „hochgradigen“ Private-Key Secure Hash Algorithm „SHA2“ (der private Schlüssel wird natürlich bei euch lokal erzeugt und nicht auf den Servern von StartSSL!)

Zertifikat herunterladen

  1. gehe im Firefox auf Einstellungen -> Erweitert -> Zertifikate anzeigen -> Ihre Zertifikate und wähle das eben erstellte aus und exportiere es
  2. vergebe ein sicheres Passwort (selbst ausdenken oder hier generieren) und speichere die *.p12-Datei auf dem Rechner an einem sicheren Ort ab (also nicht unbedingt die Dropbox).
    Das Passwort musst Du später auf dem iPhone eingeben, also mache es nicht zu kompliziert 😉

Zertifikat auf das iPhone bringen

  1. bevor man das eigentliche Zertifikat auf dem iPhone installieren kann, muss das folgenden Intermediate-Zertifikat von StartSSL installiert werden
    1. rufe diese URL auf Deinem iPhone im Browser auf:
      https://www.startssl.com/certs/class1/sha2/der/sub.class1.client.sha2.ca.cr
    2. bestätige die Installation durch Deine Entsperr-PIN (nicht die SIM-PIN!)
  2. nun muss das eigentliche Zertifikat aufs iPhone: am schnellsten geht es, eine neue E-Mail mit dem Zertifikat als Dateianhang zu verfassen und sie als Entwurf zu speichern. Sie landet dann auf dem Server ohne verschickt zu werden und kann über das iPhone wieder aufgerufen werden

Zertifikat installieren

  1. gehe in die Mail-App und öffne den Entwürfe-Ordner
  2. öffne die E-Mail und klicke auf den Dateianhang
  3. um das Zertifikat zu installieren, tippe auf „installieren“ und gebe zur Bestätigung Deine evtl. vergebene Entsperr-PIN ein (die PIN, die Du beim Entsperren des iPhones verwendest, nicht die SIM-PIN!)
  4. um das Zertifikat nutzen zu können musst Du jetzt das beim Export vergebene Passwort eingeben
  5. das Zertifikat ist jetzt installiert und kann verwendet werden

S/MIME aktivieren

  1. auf dem iPhone unter Einstellungen -> Mail, Kontakte, Kalender -> Mail-Account auswählen -> Einstellungen aufrufen -> Erweitert -> S/MIME aktiveren
  2. ebenfalls aktivieren: Signieren und Verschlüsseln (wähle das zur E-Mail-Adresse gehörende Zertifikat aus)

Verschlüsselung nutzen

  1. beende die Mail-App einmal vollständig (Doppel-Tippen auf den Homebutton zum beenden der App)
  2. starte sie neu und verfasse eine neue E-Mail: oben in der Titelzeile sollte jetzt „verschlüsselt“ stehen:
    neue-e-mail-verschluesselt
  3. sobald Du jetzt eine E-Mail-Adresse eingibst, zu der Du den öffentlichen Schlüssel des S/MIME-Zertifikat des Empfängers nicht hast, ändert sich der Text auf „unverschlüsselt“:
    neue-e-mail-nicht-verschluesselt
  4. Nun musst Du einmalig eine unverschlüsselte, aber signierte E-Mail an den Empfänger senden, der ebenfalls S/MIME auf seinem iPhone aktiviert hat und auch ein Zertifikat hat.
  5. Dieser tippt dann in der E-Mail auf Deinen Namen und kann das Zertifikat nach einem Klick auf „Zertifikat anzeigen“ auch installieren:
    smime-zertifikat-auf-dem-iphone-installieren
  6. er sendet Dir nun ebenfalls einmalig eine signierte E-Mail und Du installierst seinen öffentlichen Schlüssel auf Deinem iPhone und
  7. ab sofort könnt ihr völlig automatisch verschlüsselte E-Mails senden und empfangen!

Weitere E-Mail-Adressen lassen sich später übrigens problemlos über den „Validation Wizard“ auf der Webseite von StartSSL.com hinzufügen.

Was für ein Aufwand!

Ja, zugegeben, bis man ein S/MIME-Zertifikat erstellt und installiert hat, kann es mal bis zu einer halben Stunde dauern. Aber danach ist man durch mit dem Thema und die Kommunikation ist abgesichert.

Zwar präferiere ich immer noch GPG, doch ist die Handhabung, insbesondere auf dem iPhone, noch viel zu kompliziert als dass es alltagstauglich wäre.

Ich hoffe meine Anleitung kann Dir helfen S/MIME erfolgreich auf dem iPhone zu nutzen. Wenn Du Probleme dabei haben solltest, schreibe gerne einen Kommentar und ich schaue ob ich behilflich sein kann.

0 0 Bewertungen
Gesamtbewertung
Kommentarbenachrichtigungen
Benachrichtige mich bei
3 Kommentare
älteste
neueste meiste Bewertungen
Inline Feedbacks
View all comments