Kürzlich habe ich noch über wenig Möglichkeiten zur Verschlüsselung von Mails unter Vista und insbesondere Outlook "geklagt". Dabei habe ich eine übersehen, auf die mich Torsten Weber aufmerksam gemacht hat: S/MIME.

S/MIME ist standardmäßig in Outlook integriert, und lässt sich folglich auch unter Vista nutzen. Testen kann man das z.B. mit einem kostenlosen Zertifikat von trustcenter.de:

  1. Zertifikat mit Firefox hier besorgen (Klick auf den grünen Button "Zertifikate abrufen", etwas missverständlich).
  2. Aus Firefox heraus exportieren (Extras > Einstellungen > Erweitert > Zertifikate anzeigen > Zertifikat auswählen, Backup
  3. Zertifikat im Internet Explorer importieren (Extras > Internetoptionen > Inhalte > Zertifikate > Importieren)
  4. In Outlook einrichten (Extras > Vertrauensstellungscenter > E-Mail-Sicherheit > Einstellungen, hier "Name der Sicherheitseinstellung" auswählen, mit OK unten bestätigen)

Hat man noch "Ausgehenden Nachrichten digitale Signatur hinzufügen" gewählt, werden ab sofort alle Mails digital signiert. Das ist wirklich nett, weil der Empfänger sieht, dass die Mail wirklich vom Absender stammt - ein Verfahren, was z.B. die Postbank seit den Phishing-Attacken benutzt, um sich zu authentifizieren.

Soweit war das alles noch recht einfach und unkompliziert, will man nun aber Mails verschlüsseln, wird es ein wenig ungemütlicher als mit PGP. Denn hierfür muss man das Zertifikat des Empfängers installieren -> und zwar über den beschriebenen Weg über den IE, d.h. das Cert muss sich im Windows-Zertifikatsspeicher befinden.

Anschließend muss das Zertifikat beim Outlook-Kontakt (!) des Empfängers hinterlegt werden, damit man ihm verschlüsselte Mails schicken kann. Vorher bekommt man nur eine relativ nichtssagende Fehlermeldung.

Hat man die Hürden genommen, funktioniert das alles wunderbar. Was mir zum Glück noch fehlt, ist allerdings eine Art Regel, die festlegt, dass für einen bestimmten Kontakt E-Mails immer verschlüsselt werden - bisher habe ich nur gefunden, dass man das global für alle Mails einstellen kann. Und da 99% meiner Mails unverschlüsselt rausgehen, wäre es mehr als nervig, jedes Mal die Fehlermeldungen wegzuklicken - andersrum ist es für das eine Prozent Rest mehr als ärgerlich, wenn ich unverschlüsselt verschicke.

Falls da noch jemand einen Tipp hat, nur her damit. Mein Dank gilt erstmal Torsten Weber für die Erleuchtung ;-).

Kommentare

#1 Thorsten schrieb am Dienstag, 6. März 2007 18:39:00:
Das Zertifikat des Empfängers muss nicht im Windows-Zertifikatsspeicher gespeichert werden. Outlook-Kontakt reicht.
#2 Jan schrieb am Mittwoch, 7. März 2007 06:48:00:
Das mit den Regeln habe ich leider auch nicht bekommen. Ich benutze mein Zertifikat schon seit Jahren um meine Emails zu signieren. So sieht die Gegenstelle wenigstens, das die Email auch wirklich von mir kommt. Leider ist das Problem die Gegenstellen davon zu überzeugen sich auch ein digitales Zertifikat zuzulegen. Da fehlt irgendwie das Sicherheitsbewusstsein. Nicht mal mein Anwalt bekommt das hin. Und so werden weiter Postkarten verschickt :-(
#3 Norbert Eder schrieb am Donnerstag, 8. März 2007 19:53:00:
Ich habe mich lange Zeit mit Themen wie S/MIME und PGP beschäftigt. Prinzipiell ganz ok und auch sinnvoll. Gibt es etwas ohne das berühmte ABER? Nein, gibt es nicht. Und weder PGP noch S/MIME ist das wirklich wahre. Der Unterschied zwischen beiden ist lediglich, dass es sich bei S/MIME um einen Industriestandard handelt und bei PGP nicht bzw. das S/MIME Rechtsgültigkeit besitzt.

Das Problem, welches ich aber ansprechen möchte ist folgendes: Microsoft rühmt sich damit, die Zertifikate bestimmter CAs mit auszuliefern. Das betrifft aber hauptsächlich nur die Root-CAs und weniger den kleineren, staatsbezogenen. Beispiel Österreich: Angekündigt war bei XP, dass das Root-Zertifikat von A-Trust mit ausgeliefert wird. Dem war aber nicht der Fall. Ergo musste sich der Empfänger einer signierten oder gar verschlüsselten Mail zuerst das Zertifikat der entsprechenden Stelle runterladen und installieren. Das ist für Unsereins kein Problem. Für einen x-beliebigen Händler um die Ecke aber sehr wohl, geschweige denn von Privatpersonen. Ohne das Zertifikat kann die Signatur nicht validiert werden. Ergo - in vielen Fällen nichts gewonnen.

Meiner Meinung - und die ist an dieser Stelle sehr reisserisch - muss ein anderes, altagstaugliches System her. Aber das wird wohl noch Jahre dauern, denn zuerst müsste die Geschichte Email revolutioniert werden. Ideen in der Kiste, aber ohne Weltkonzern auf den Schultern wohl nicht umsetzbar.

Dein Kommentar














« Zurück  |  Weiter »