S/MIME

S/MIME (Secure / Multipurpose Internet Mail Extensions) ist ein Standard für die Verschlüsselung und Signatur von MIME-gekapselter E-Mail durch ein hybrides Kryptosystem.

Funktion

S/MIME definiert zwei Content-Types für MIME. Das Multipart/Signed-Format zur Signierung einer Mail und das Multipart/Encrypted-Format zu deren Verschlüsselung. S/MIME wird von den meisten modernen Mailclients unterstützt. Es erfordert X.509-basierte Zertifikate für den Betrieb. Als Alternative zu S/MIME kann auch OpenPGP unter Verwendung einer PKI eingesetzt werden. Die beiden Verfahren sind allerdings nicht kompatibel, auch wenn sie teilweise die gleichen Verschlüsselungsverfahren einsetzen, da sie unterschiedliche Datenformate verwenden - hier ist meist üblich: PGP/INLINE oder PGP/MIME.

Multipart/Signed

Das Format enthält genau zwei Blöcke. Der erste enthält die Daten, inklusive des MIME-Headers, über welche die digitale Signatur erstellt wurde. Der zweite enthält die Informationen, um die Signatur zu überprüfen. Die Mail bleibt dadurch auch für Mailclients, die kein S/MIME unterstützen, lesbar.

Multipart/Encrypted

Das Format enthält ebenfalls genau zwei Blöcke. Der erste enthält benötigte Informationen zur Entschlüsselung. Im zweiten Block sind die verschlüsselten Daten enthalten. Der Mailrumpf ist komplett verschlüsselt und kann somit nur vom vorgesehenen Empfänger gelesen werden. Damit ist auch ein Scannen auf Viren und Spam erst auf dem Endgerät möglich. Die Mailheader (auch das Subject) ist dagegen weiterhin unverschlüsselt und sollte daher keine vertraulichen Informationen enthalten. Zusätzlich muss natürlich dem Sender der Public Key des Empfängers bekannt sein.

Kostenfreier Zugang

CAcert und andere Organisation bieten kostenlose S/MIME-Zertifikate an. Es können dabei nach einer Registrierung mehrere Zertifikate erstellt werden, die aber erst nach einer gewissen Anzahl von Identitätsnachweisen den Namen beinhalten. Diese können durch Mitglieder in einem Web of Trust oder anderen vertrauenswürdigen Stellen wie Rechtsanwälten oder Wirtschaftstreuhändern erfolgen. CAcert ist jedoch in vielen E-Mail-Clients und Webbrowsern noch nicht in der Zertifikatsdatenbank als vertrauenswürdige Zertifizierungsstelle eingetragen oder von einer dort eingetragenen Root CA zertifiziert. Ein Benutzer, der eine Verbindung zu einem Server mit CAcert-Zertifikat aufbaut, wird daher eine Meldung erhalten, dass die Herkunft des Zertifikates nicht überprüft werden konnte. Weiterhin werden kostenlose Zertifikate mit reduzierter Gültigkeitsdauer von Comodo InstantSSL^[1] (3 Monate) angeboten, welche im Gegensatz zu CAcert auch in den Zertifikatsdatenbanken gängiger Software als vertrauenswürdig gelistet werden.

Kostenlose, ein Jahr lang gültige Zertifikate, welche im Gegensatz zu CAcert auch in den Zertifikatsdatenbanken gängiger Software als vertrauenswürdig gelistet werden, werden z. B. angeboten von Start SSL als StartSSL Free, von TC Trustcenter als TC Internet ID und von Comodo als Free Secure Email Certificate.

Siehe auch

• Digitales Zertifikat
• Digitale Signatur
• Elektronische Signatur
• Secure Messaging
• PGP/INLINE
• PGP/MIME

Einzelnachweise

1. ↑ InstantSSL Secure Email Certificate http://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

Weblinks

• S/MIME IETF Working Group
• S/MIME IETF Status Page
• RFC 1847 (Security MIME Multiparts)
• RFC 2633 (S/MIME Version 3.0)
• RFC 3851 (S/MIME Version 3.1)
• Anleitung zum Verschlüsseln von Epost in Thunderbird; noch eine Anleitung
• MozillaZine Knowledge Base - Getting an SMIME certificate
• Global TrustPoint - Trustcenterunabhängige Metasuchmaschine für X.509 Zertifikate
• S/MIME vs. OpenPGP: Eine Entscheidungshilfe