Suchen

Definition Was ist S/MIME?

Mit dem Standard S/MIME lassen sich E-Mails verschlüsseln und signieren. Die Technologie basiert auf der asymmetrischen Verschlüsselung und verwendet Zertifikate sowie private und öffentliche Schlüssel. Viele gängige E-Mail-Programme unterstützen S/MIME. PGP ist eine Alternative zu S/MIME.

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - Fotolia)

Die Abkürzung S/MIME steht für den Standard "Secure/Multipurpose Internet Mail Extensions". Der Standard stellt eine Technologie zur Verfügung, um E-Mails zu verschlüsseln und/oder sie zu signieren. Der E-Mail-Verkehr lässt sich mit der bereitgestellten Methode absichern und vor unerwünschtem Zugriff schützen. Über die Signierung ist die Legitimität des Absenders verifizierbar.

S/MIME kann zum Beispiel genutzt werden, um Phishing-Angriffe zu erkennen und abzuwehren. Spezifiziert ist S/MIME im RFC 2633. Der RFC stellt eine MIME-Erweiterung des RFCs 1847 aus dem Jahr 1995 dar. RFC 2633 verwendet das Signaturformat multipart/signed aus dem MIME-Standard zum Signieren und den Content-Typ application/pkcs7-mime zum Verschlüsseln. Zum Einsatz kommen die asymmetrische Verschlüsselung mit privaten und öffentlichen Schlüsseln sowie X.509-basierte Zertifikate. Eine Alternative zu S/MIME ist PGP (Pretty Good Privacy).

Unterschied zwischen dem Signieren und dem Verschlüsseln von E-Mails

Signieren und Verschlüsseln sind zwei unterschiedliche Vorgänge beim Absichern des E-Mail-Verkehrs. Mit der Signierung lässt sich die Identität eines legitimen Absenders nachweisen. Beim Erstellen einer E-Mail fügt der Absender eine mit dem privaten Schlüssel erzeugte Signatur hinzu. Der Empfänger kann die Signatur mit dem ihm bekannten öffentlichen Schlüssel des Absenders prüfen. Ist die Prüfung positiv, weiß der Empfänger, dass die Nachricht tatsächlich vom angegebenen Absender stammt. Phishing-Angriffe lassen sich durch Signaturen verhindern. Die eigentliche E-Mail bleibt beim Signieren unverschlüsselt und weiterhin lesbar.

Das Verschlüsseln mit einem öffentlichen Schlüssel eines Empfängers macht den Inhalt einer E-Mail nur durch das Entschlüsseln mit dem zugehörigen privaten Schlüssel wieder lesbar. Unbefugte können die E-Mail nicht lesen. Auch das Scannen auf Spam oder Viren ist im verschlüsselten Zustand nicht möglich. Erst auf dem Endgerät des Empfängers kann dies nach dem Entschlüsseln durchgeführt werden. Der Header einer E-Mail inklusive Betreffzeile sind nicht verschlüsselt und bleiben immer lesbar.

Funktionsprinzip von S/MIME

S/MIME verwendet das Prinzip des asymmetrischen Verschlüsselungsverfahrens zum Signieren und Verschlüsseln von E-Mails. Dieses basiert auf einem Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel (Private und Public Key). Öffentliche Schlüssel dürfen allen bekannt sein und lassen sich mit anderen E-Mail-Kontakten teilen. Der private Schlüssel ist nur dem Absender bekannt. Mit einem öffentlichen Schlüssel verschlüsselte Nachrichten können nur mit dem privaten Schlüssel entschlüsselt werden und umgekehrt. Zum Erzeugen eines Schlüsselpaars benötigt man ein Zertifikat.

Im unverschlüsselten Header einer E-Mail bekommt der Empfänger mitgeteilt, ob die Nachricht verschlüsselt und/oder signiert ist und welche Kodierungsform eingesetzt ist. E-Mails werden mit dem öffentlichen Schlüssel eines Empfängers verschlüsselt und sind nur von diesem mit seinem geheimen privaten Schlüssel wieder entschlüsselbar. Ist der private Schlüssel nicht kompromittiert, ist sichergestellt, dass ausschließlich der legitime Empfänger die E-Mail lesen kann.

S/MIME und die verschiedenen Klassen der Zertifikate

Die Verwendung von S/MIME setzt ein X.509-Zertifikat voraus. In der Regel stellt dieses eine offizielle Zertifizierungsstelle aus. Inhalt des Zertifikats sind unter anderem der öffentliche Schlüssel, der Name des Besitzers und dessen E-Mail-Adresse sowie die Signatur des Ausstellers. Es existieren kostenlose und kostenpflichtige Angebote für Zertifikate. E-Mail-Zertifikate unterscheiden sich von den Web-Zertifikaten für SSL/TLS. Unterteilen lassen sich die Zertifikate in folgende vier Klassen:

  • Klasse 1: lediglich die E-Mail-Adresse ist vom Aussteller geprüft
  • Klasse 2: E-Mail-Adresse, Name und Organisation sind geprüft
  • Klasse 3: E-Mail-Adresse, Name, Organisation, Handelsregisterauszug und Personalausweis sind geprüft
  • Klasse 4: Antragsteller ist persönlich beim Aussteller erschienen und hat sich mit Originaldokumenten verifiziert

Die kostenlosen Angebote für Zertifikate beschränken sich meist auf Zertifikate der Klasse 1.

PGP – die Alternative zu S/MIME

Das seit 1991 existierende PGP (Pretty Good Privacy) ist eine Alternative zu S/MIME und gilt ebenfalls als sehr sicher. Das Grundprinzip beider Methoden ist ähnlich. Da unterschiedliche Schlüsselformate und Datenformate zum Einsatz kommen sind PGP und S/MIME nicht kompatibel. Sender und Empfänger müssen gleiche Methoden einsetzen oder sowohl S/MIME als auch PGP unterstützen. PGP basiert auf dem sogenannten Web of Trust, einem auf Gegenseitigkeit aufbauendem Vertrauensmodell.

Einsatz von S/MIME auf verschiedenen Geräten mit unterschiedlichen Betriebssystemen

Heute unterstützen fast alle gängigen E-Mail-Clients der verschiedenen Betriebssysteme die Verschlüsselung und Signierung per S/MIME. Dazu zählen beispielsweise Thunderbird, Microsoft Outlook oder Apple Mail. Allerdings müssen die Programme zur Nutzung von S/MIME passend konfiguriert werden. Das Zertifikat ist zu erstellen und zu installieren. Ist alles korrekt eingerichtet, bietet der E-Mail-Client zusätzliche Funktionen zur automatischen oder manuellen Verschlüsselung und Signierung.

(ID:45576747)

Über den Autor