Mit Brief und Siegel: E-Mail Zertifikate unter Mac OS X leicht gemacht

E-Mails sind heute DAS Derivat zur herkömmlichen Briefpost und als digitaler Dienst im Internet nicht mehr wegzudenken. Schnell sind sie verfasst, mindestens ebenso schnell verschickt – leider missbrauchen auch immer mehr dieses Medium für ihre Zwecke (Stichwort: Spam) und so werden standardkonforme Lösungen benötigt, um E-Mails authentischer und vertrauenswürdiger werden zu lassen. Die Stichwörter hier heissen „Verschlüsselung“ und „digitale Signatur“ – und zumindest mit letzterer möchten wir uns heute beschäftigen.

Über Jahre hinweg hat sich kaum jemand Gedanken darüber gemacht, das E-Mails, die bekanntlich über viele Knoten und Server des Internets gehen, praktisch unverschlüsselt und theoretisch von jedem lesbar von A nach B wandern. Dieses Bewusstsein setzte mit steigendem Spamaufkommen und den damit verbunden Gefahren wie Phising-Mails als logische Konsequenz irgendwann ein, denn wer von uns würde wollen, das seine Briefpost theoretisch von jedem Postbeamten abgefangen, gelesen und gegebenenfalls missbraucht werden kann? Viele E-Mail-Provider nutzen mittlerweile SSL-Verschlüsselung für POP3-, IMAP- und SMTP-Dienste und sind bereits einen grossen Schritt in Richtung Sicherheit gegangen – die vollständige Verschlüsselung via privaten und öffentlichen Schlüsseln sowie die digitale Signatur von E-Mails indes sind längst noch kein Standard. Hier ist also Eigeninitiative gefragt – dieser Artikel behandelt im weiteren Verlaufe die Integration eines kostenlosen TrustCenter-Zertifikates für den privaten Gebrauch in einen herkömmlichen E-Mail-Client, hier: Apple Mail (das Tutorial für Microsoft Outlook und die Integration des Zertifikates unter Windows folgt noch).

Die folgenden Schritte sind zu beachten:

  1. Beantragung eines Zertifikates beim Dienst Ihrer Wahl
  2. Download dieses Zertifikates
  3. Integration des Zertifikates ins Zielsystem
  4. Abschlusstests über den E-Mail-Client

Ob man nun 19,95 $ für das private Zertifikat des „Platzhirsches“ VeriSign ausgibt oder auf die kostenlosen Zertifikate von CAcert oder TrustCenter (Thawte hat seinen „Web-of-Trust“-Service mittlerweile ja leider eingestellt) zurückgreift, bleibt einem jeden selbst überlassen. Sofern die technische Grundvoraussetzungen stimmen (sprich: Sofern ein S/MIME-konformer E-Mail-Client wie Microsoft Outlook, Mozilla Thunderbird, Apple Mail o. ä. genutzt wird), sollte der Prozess des Beantragens bis hin zur Einspielung des Zertifikates nicht länger als 30 Minuten dauern, dann kann die erste signierte E-Mail verschickt werden.

In diesem Mac-basierten Tutorial sind unsere Handwerkszeuge Apple Mac OS X 10.6.4, Apple Mail und Safari als Browser – letzterer ist besonders wichtig, da wir das Zertifikat, welches wir einmal angefordert haben, auch nur mit demselben Browser abrufen und installieren können. Wir surfen also die Webseite des Zertifizierungsdienstes unserer Wahl – im Beispiel hier TrustCenter – an und beantragen eine „TC Internet ID“. Nach Eingabe von Vornamen, Namen, Land und E-Mail-Adresse ist der grundlegende Antrag bereits erledigt (für Privatleute ist das kostenlos) und wir dürfen auf eine Bestätigungs-E-Mail warten, in der die weiteren Schritte zur Beantragung des Zertifikates enthalten sind – in diesem Fall klicken wir auf einen Link, der eine spezielle E-Mail mit entsprechenden Text und Betreff generiert und diese an das TrustCenter schickt.

Kurze Zeit später sollte es dann möglich sein, nach Erhalt einer weiteren Mail den abschliessenden Vorgang zur Zertifikatserstellung durchzuführen – im Feld „Eingabe der Kundendaten“ definieren wir eine Anrede und ein Notfallkennwort, das benötigt wird, um gegebenenfalls unser Zertifikat telefonisch sperren zu können. Zusätzlich müssen noch zwei Radio Buttons bezüglich der Allgemeinen Geschäftsbedingungen und Aufbewahrung des Public Keys in den Datenbanken des TrustCenters bestätigen, um weiter zur Schlüsselerstellung zu kommen – diese Vorgehensweise mag übrigens von Anbieter zu Anbieter entsprechend variieren, dient aber letztendlich einem Zweck – nämlich der grundsätzlichen Zertifikatserstellung.

Als Schlüsselstärke sollte man den Wert von 2048 Bit nicht abändern, da dieser den (Stand heute) höchstmöglichen Verschlüsselungsgrad darstellt. Hat man hier seine Wahl getroffen, kann das Schlüsselpaar erzeugt werden. Im darauffolgenden Dialog sieht man noch einmal eine Übersicht seines Schlüssels inklusive Fingerprint, allen weiteren relevanten Daten sowie Ablaufdatum. Ein Klick auf „Zertifikat installieren“ importiert dann das frisch generierte Zertifikat in den Browser (hier: Safari) bzw. lädt es – hier unter dem Namen „Install.cgi.p7s“ herunter. Damit Mail das Zertifikat auch lesen kann, muss es noch in den Schlüsselbund kopiert werden – hier reicht es, die Datei in den geöffneten Schlüsselbund zu ziehen – beim nächsten Neustart von Mail und dem Versuch, eine E-Mail zu schreiben, sieht man dann in dem entsprechenden E-Mail-Konto oben rechts neben dem Zeichen für die Priorität der E-Mail ein Schloss mit einem Haken, der in einer Art Stern eingefasst zu sein scheint – das Zeichen dafür, dass das Zertifikat erfolgreich installiert wurde. Übrigens scheint der Grund, wieso das Zertifikat manuell in den Schlüsselbund importiert werden musste, die Downloadeinstellung in Safari zu sein – auf dem Testsystem wurde das Öffnen bzw. Entpacken sogenannter „sicherer Dateien“ nach dem Download rigoros verboten – Benutzer, die diese Option aktiviert haben, sollten zumindest in Sachen Zertifikatsimport einen Schritt weniger gehen müssen, da Safari das Zertifikat nach bisherigen Erfahrungen nach dem Download direkt öffnet und somit importiert.

Beim ersten Versuch, eine Mail über das entsprechende, jetzt signierte E-Mail-Konto zu verschicken, stellt Mail fest, dass Mail diese E-Mail mit dem TrustCenter-Schlüssel signieren möchte und fragt, ob wir Zugriff auf dieses Objekt gewähren. Möchte man diese Frage nicht bei jedem Mailversand erneut sehen, sollte man sich für die Option „Immer erlauben entscheiden – fertig ist die persönliche digitale Signatur in Apple Mail!

Ein kleiner Gedanke zum Abschluss: Am Anfang des Artikels wurde der Browser explizit erwähnt – das ist wichtig, da das ausgestellte Zertifikat nicht nur mit dem Browser, unter dem man es beantragt hat, abgerufen werden kann, sondern sich auch primär in diesen installiert. Safari erfordert keine weiteren Schritte, um das Zertifikat zu erhalten, welches man anschliessend in den Schlüsselbund importiert. Bei Firefox hingegen muss man (sofern man das Zertifikat über diesen Browser beantragt hat), eine Sicherung des Zertifikates in eine .p12-Datei durchführen, um diese dann erst in den Schlüsselbund importieren zu können – hier geht der Apple-Browser Safari einen direkteren Weg, was ja aufgrund der Integration ins Gesamtsystem nicht wirklich erstaunlich ist.

Quellen:

  1. http://www.trustcenter.de/products/tc_internet_id.htm – TrustCenter Internet ID
  2. http://www.verisign.de/authentication/individual-authentication/digital-id/index.html – VeriSign (Digitale IDs für sichere E-Mail)
  3. http://www.cacert.org/index.php?lang=de_DE – CAcert

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*