Wo wir gerade bei Anleitungen sind: wie binde ich eigentlich ein S/MIME-Zertifikat zur Signatur und Verschlüsselung von E-Mails in Mail.app ein?
S/MIME ist ein Verfahren zur Verschlüsselung und Signierung von E-Mails und ist recht einfach zu handhaben, da die meisten Mailclients von Hause aus mit diesem umgehen können. Kostenlose Schlüssel gibt es an verschiedenen Stellen, ich habe mich für Thawte entschieden. Nachteil der kostenlosen Schlüssel ist, dass es sich hier am Anfang um anonyme Schlüssel handelt. Die Identität ist also nicht an den Schlüssel gebunden, was somit nur zur Überprüfung der Sender-E-Mail-Adresse reicht. Die Zertifikate kann man aber über ein Web of Trust genanntes Verfahren zu namensgebundenen Zertifikaten aufbessern, näheres dazu erfährt man auf der Thawte-Website.
Wer also erstmal ein anonymes Zertifikat haben möchte, folge diesen Schritten:
- Die Website http://www.thawte.com/ aufsuchen
- In der Navigation auf Products –> Free Personal E-Mail Certificates gehen
- Anmeldeprozedur durchlaufen und E-Mail abwarten
- Nach der Bestätigung das X-509-Zertifkat anfordern und im nächsten Schritt für Mozilla Firefox/Thunderbird, Netscape Communicator/Messenger anfordern
- Nach einiger Zeit sollte eine E-Mail von Thawte ankommen, mit einem Link zum Installieren des Zertifikats in Firefox: Anklicken und Installieren
- In die Einstellungen von Firefox auf Erweitert –> Verschlüsselung –> Zertifikate anzeigen gehen
- Das Zertifikat auswählen und Sichern…
- Im Finder in das Verzeichnis Programme –> Dienstprogramme gehen und dort die Schlüsselbundverwaltung aufrufen
- Im Menü auf Ablage –> Objekte importieren… gehen, den exportierten Schlüssel auswählen und mit Eingabe des Passwortes bestätigen
- Mail.app neu starten und schon kann man alle E-Mails digital signieren und Empfängern, dessen öffentlicher Key bekannt ist, verschlüsselte E-Mails schicken
Endlich ist TrueCrypt für Mac OS X erschienen. Mit FileVault bin ich ja nie so warm geworden. Auch aus dem Grund, dass ich auf einem Windows- oder Linux-System mit den verschlüsselten Daten nichts anfangen konnte. Das ändert sich aber mit dem Erscheinen der fünften Version von TrueCrypt.
Mit der Mac-Truecrypt-Version kann man anscheinend nur Container erstellen und nicht das Systemlaufwerk verschlüsseln. Das wäre für mich das Nonplusultra, denn dass mein MacBook nicht komplett verschlüsselt ist, bereitet mir immer Bauchschmerzen. Nicht, dass ich Staatsgeheimnisse mit mir rumtragen würde, aber gewisse Kundendaten, E-Mails usw. kann ich nicht in einen Container stecken und sind somit unverschlüsselt.
Auch versteckte Container kann man mit der neuen Version (noch?) nicht erstellen. Aber Schluß mit Meckern, es ist schließlich die erste Version für Mac. Einen Vorschlag/Wunsch hätte ich aber noch für kommende Versionen: ein Icon für die Menubar, mit dem man an die Einstellungen von Truecrypt und vorhandene Container gelangt. Dann könnte man das Icon aus dem Dock verbannen (ein Rechtsklick auf selbiges öffnet übrigens die letzten verwendeten Container zum schnellen Mounten auf).
Eine Integration für Quicksilver wäre auch etwas Schönes. Aber jetzt habe ich wirklich genug gemeckert und Forderungen gestellt, Hauptsache ist jedenfalls, dass es endlich eine plattformübergreifende Möglichkeit zur Verschlüsselung von Daten gibt.
Seit neuestem bin ich auch mit dem Leoparden unterwegs, wobei mich die fehlende PGP-/GPG-Unterstützung in Mail doch nicht glücklich gemacht hat. Aber damit ist hoffentlich bald Schluss: der Hersteller von GPGMail bastelt schon an einer Portierung zum neuesten Update von Apple.
Wer es aber bis dahin nicht aushalten und auch nicht auf komfortable E-Mail-Verschlüsselung verzichten kann, dem sei die Beta-Version ans Herz gelegt. Zur Zeit ist die Version d51 aktuell, leider "nur" in Englisch, aber für die zwei Knöpfchen benötigt man eigentlich auch keine Übersetzung. Die Installation der Beta wird in einer Readme-Datei erklärt.
Was man zur erfolgreichen Verschlüsselung sonst so alles benötigt, hatte ich mal hier zusammengefasst.
Ich habe mich ja schon damit abgefunden, das Mailprovider aus bandbreitentechnischen Gründen ihre Kunden nicht auf die Verschlüsselung zwischen Client und Server aufmerksam machen. Verstehen tue ich es trotzdem nicht. Den Providern sollte doch auch daran gelegen sein, die Zugangsdaten für Dritte so unzugänglich wie möglich zu halten. Das selbst das Benutzen eines Tor-Netzwerks keinen Schutz bedeutet, mussten vor vor ein paar Monaten einige Botschaften und Behörden feststellen. Der Urheber des Lauschangriffs soll angeblich von schwedischen Sicherheitsbehören festgenommen worden sein, befindet sich aber wieder auf freiem Fuß.
Aber nicht nur die Verbindung vom Client zum Server sollte man verschlüsseln, sondern die gesamte Kommunikation. Die meisten Server-zu-Server-Verbindungen werden nämlich nicht verschlüsselt, so dass der Inhalt der E-Mail zwischen diesen Punkten mitgeschnitten werden kann. Unter Mac OS X kann man ganz einfach eine GPG-Verschlüsselung in Mail.app einrichten. Dafür benötigt man nur zwei (naja, drei Dinge):
- Mac GPG (das Framework zum Verschlüsseln)
- GPG Schlüsselbund (zur Verwaltung der Schlüssel)
- GPGMail (die Integration in Mail.app)
Die Briten sind zwar schon einen Schritt weiter als die Bundesregierung, aber bis diese Zustände auch in unserem Land eintreten werden, sollte man doch alle Sicherheitsmaßnahmen für seine Kommunikation einsetzen, die man findet. Oder nicht?
Meinen öffentlichen Schlüssel findet Ihr jedenfalls hier.
Obwohl der Bundesgerichtshof in seiner Entscheidung zur Aufhebung eines Haftbefehls erwähnt hat, dass aus der Verschlüsselung von E-Mails nicht geschlossen werden kann, dass in diesen strafbare Handlungen erörtert oder vollzogen werden, ist es doch eine Überlegung wert, auf Verschlüsselung in Zukunft zu verzichten, oder?
Ich habe doch schließlich nichts zu verbergen…