(GER) Selbst signierte S/MIME Zertifikate unter iOS erstellen
Hallo alle miteinander. Heute mal ein etwas spezieller Beitrag aus gegebenem Anlass.
Wer sich mit E-Mail Verschlüsselung beschäftigt stolpert über kurz oder lang über zwei verfahren: PGP und S/MIME. Während das erste leider nicht nativ von iOS unterstützt wird, kann man S/MIME Zertifikate verhältnismäßig einfach integrieren. Zumindest werden sie von iOS Mail nativ unterstützt. Auch andere Mail Clients - wie z. B. Thunderbird unterstützen S/MIME von Haus aus ohne zusätzliche Software oder PlugIns.
Ich gehe heute nicht darauf ein, wie E-Mail Verschlüsselung allgemein funktioniert. Falls ihr wisst was S/MIME Zertifikate sind und wie sie funktionieren, möchte ich euch heute einen verhältnismäßig einfachen Weg zeigen ein selbstsigniertes Zertifikat mit Hilfe eines iOS Gerätes zu erstellen. Ihr könnt es dann in diesem Gerät nutzen oder auch für beliebige andere Geräte (PC / MAC) exportieren.
Warum selbstsigniert?
Viele, die S/MIME Zertifikate nutzen, besorgen sich Zertifikate die von einer anerkannten Autorität (CA) signiert wurden. Das hat den Vorteil, dass diese Zertifikate automatisch von allen Browsern und Mail Clients als gültig anerkannt werden. Kostenlose S/MIME Zertifikate für Privatpersonen gibt es z. B. von Comodo. Diese sind aber immer nur ein Jahr gültig. Danach muss man ein neues erstellen, alle Mail Clients umrüsten und wenn möglich auch die alten Zertifikate sichern und vorhalten, damit man ältere, verschlüsselte Mails noch lesen kann.
Ehrlich gesagt nervt mich das ein wenig. Ich habe sowieso nur eine Handvoll Kontakte die mit S/MIME verschlüsseln sowie einen beruflichen Mail Account den ich so abgesichert habe. Also habe ich mich entschieden ein selbstsigniertes S/MIME Zertifikat zu verwenden. Dieses hat eine Laufzeit von 10 Jahren, kostet mich nichts und kann sogar im beruflichen Umfeld verwendet werden. Dafür wird das Zertifikat natürlich nicht automatisch von anderen Mail Clients als gültig angesehen. Aber dazu später mehr.
Zertifikatserstellung mit iOS
Auch ohne tiefere Kenntnisse über die S/MIME Zertifikatskette, kann man eine solche sehr einfach unter iOS erstellen. Dazu ladet ihr euch die kostenlose App "And You And I" aus dem App Store (Link über das Bild oben). Der Quelltext ist übrigens mittlerweile offengelegt.
1. Erstellen einer eigenen Zertifikatskette
Nach dem Start und dem Tutorial, klick man oben rechts auf das + Zeichen um eine neue Zertifikatskette zu erstellen. Tatsächlich erstellt die App nicht lediglich ein selbst signiertes S/MIME Zertifikat sondern jeweils eine eigene Kette bestehen aus einem Aussteller Zertifikat (CA) und einem, von diesem Ausstellerzertifikat signiertem S/MIME Zertifikat.
Also fluchs, die Mail Adresse (für die das Zertifikat gelten soll), Vor- und Nachnahme sowie die Stadt eingegeben. Diese Daten werden in das Zertifikat übernommen. Jetzt ist die neue Mailadresse in der Übersicht zu sehen. Wischt man sie nach rechts, kommt ein weiteres + Zeichen zum Vorschein welches wir anklicken müssen. Nun werden automatisch das Ausstellerzertifikat, das S/MIME Zertifikat sowie der private Schlüssel dafür erstellt. Außerdem wird noch eine Konfigurationsdatei erstellt mit der man diese Zertifikate später leicht im iOS Gerät installieren kann.
2. Installation auf dem eigenen Gerät
Ich empfehle euch in den Einstellungen zunächst einmal die Nutzung der iCloud zu aktivieren (sofern noch nicht aktiviert). Dies hat den großen Vorteil, dass eure Zertifikate verschlüsselt in eurer iCloud gespeichert werden. So könnt ihr die Zertifikate und den privaten Key nicht verlieren (Backup). Außerdem wird die Installation dadurch extrem einfach.
In der Liste der Zertifikate kann man das Zertifikat (es wird die Mailadresse angezeigt) nun nach rechts oder nach links wischen um weitere Optionen zu erhalten. Alles was wir brauchen finden wir über ein wischen nach links. Hier erscheint der Button "Mehr" auf den wir klicken. Als nächstes "Link aus iCloud importieren". Jetzt öffnet sich der Safari Browser und lädt sich direkt aus eurer iCloud die Zertifikate um sie z. B. im iPhone zu installieren. Diesen Zugriff durch Safari müsst ihr zunächst erlauben.
Während des Installationsprozesses müsst ihr zunächst euer iOS Kennwort eingeben (also dass mit dem ihr das Telefon auch entsperrt). Im nächsten Schritt müsst ihr das Passwort eingeben, mit dem das Zertifikat verschlüsselt wurde. Dies ist ein wenig tricky. Als ihr die App das erste Mal gestartet habt musstet ihr ein Passwort zum Verschlüsseln eingeben. Dieses funktioniert nun aber nicht zum Entschlüsseln. Warum? Nun, "And You And I" verschlüsselt mit diesem Kennwort nur die Dateien auf der iCloud. Das Zertifikat selbst ist mit einem von der App generierten Passwort verschlüsselt. Wenn ihr nach dem Passwort für das Zertifikat gefragt werdet, wechselt ihr daher kurz zurück in die App. Unter dem Button "Mehr" wählt ihr nun "Passwort in Zwischenablage" nun könnt ihr wieder zu Safari zurückkehren und das Passwort einfach einfügen.
Nun müssen wir dem Aussteller Zertifikat unser Vertrauen aussprechen:
Einstellungen -> Allgemein -> Info -> Zertifikatsvertrauenseinstellungen
.
Jetzt kann das S/MIME Zertifikat für die Mailadresse verwendet werden:
Einstellungen -> Accounts & Passwörter -> {E-Mail Account} -> Account -> Erweiterte Einstellungen -> S/MIME
.
Hier kann man auch das automatische Signieren und Verschlüsseln aktivieren. Jetzt sind wir im Prinzip fertig.
Zum Schluss wechseln wir wieder in die App, klicken auf wieder auf "Mehr" und auf "Link in iCloud löschen". Dies entfernt den öffentlichen Link auf unsere iCloud wieder, den wir für die einfache Installation verwendet haben (so war der Zugriff über Safari möglich).
3. Export auf PC / MAC
Über den Button "Mehr" -> "Mail an Sie selbst senden" erstellt das Programm automatisch eine Mail mit allen Zertifikaten (CA und S/MIME) sowie (ACHTUNG!) dem privatem Schlüssel des S/MIME Zertifikats. Letzterer ist zwar verschlüsselt, doch man sollte darauf achten wohin man diese Daten mailt. Dies ist zwar nicht der sicherste aber der einfachste Weg um alle nötigen Dateien auf den PC oder MAC zu bekommen. Hier kann man sie dann z. B. im Thunderbird installieren und somit auch dort Mails für die gewählte Adresse verschlüsseln oder signieren.
Ich habe mit der App auch schon Zertifikate erstellt, die ich danach ausschließlich auf externen (nicht iOS) Geräten genutzt habe. Der Vorteil wenn man die App benutzt ist das verschlüsselte iCloud Backup und der wirklich einfache Erstellprozess. Auch auf dem PC / MAC gilt: zunächst das Aussteller Zertifikat installieren und ihm das Vertrauen aussprechen und danach das S/MIME Zertifikat mit dem privaten Schlüssel.
4. Kommunikation mit anderen
Da sowohl das ausstellende Zertifikat als auch das eigentliche S/MIME Zertifikat selbst erstellt bzw. signiert sind, werden signierte Mails die an fremde verschickt werden dort zunächst als nicht vertrauenswürdig gekennzeichnet. Damit sich dies ändert muss der Kommunikationspartner das Ausstellerzertifikat auch bei sich im Mail Client integrieren und ihm das Vertrauen aussprechen. Auch hier hilft die App. Unter "Mehr" gibt es noch den Punkt "Mail an Partner senden". Damit wird eine Mail vorbereitet, die bereits eine Konfigurationsdatei für iOS Geräte beinhaltet als auch das Aussteller- und Inhaberzertifikat (S/MIME). Diesmal natürlich ohne den privaten Schlüssel.
Auf diesem Weg kann man schnell seinen Kommunikationspartnern, die selber S/MIME verwenden die notwendigen Zertifikate für eine vertrauensvolle Kommunikation zur Verfügung stellen.
Ich hoffe dieser Beitrag hilf jedem von euch der über die Verwendung von S/MIME Zertifikaten nachdenkt und ein iOS Device besitzt. Ein Mega Lob und Dank an dieser Stelle für den / die Entwickler von "And You And I"!!!
Diese Artikel von mir könnten dich vielleicht auch interessieren:
Congratulations @privacybydesign! You have completed some achievement on Steemit and have been rewarded with new badge(s) :
Award for the number of upvotes
Click on any badge to view your own Board of Honor on SteemitBoard.
For more information about SteemitBoard, click here
If you no longer want to receive notifications, reply to this comment with the word
STOP
@privacybydesign you were flagged by a worthless gang of trolls, so, I gave you an upvote to counteract it! Enjoy!!
Thank you very much! :-)
Congratulations @privacybydesign! You received a personal award!
Click here to view your Board
Congratulations @privacybydesign! You received a personal award!
You can view your badges on your Steem Board and compare to others on the Steem Ranking
Vote for @Steemitboard as a witness to get one more award and increased upvotes!