S/MIME Prinzip: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 21: Zeile 21:
 
=Prinzip=
 
=Prinzip=
 
= Ablauf der Signaturprüfung bei S/MIME =
 
= Ablauf der Signaturprüfung bei S/MIME =
;Alice sendet signierte E-Mail an Bob
+
;Alice will eine signierte E-Mail an Bob senden
*Sie schreibt eine E-Mail im Klartext
+
*Alice schreibt eine E-Mail im Klartext
 
*Sie berechnet einen Hash über den Nachrichtentext
 
*Sie berechnet einen Hash über den Nachrichtentext
*Sie verschlüsselt den Hash mit ihrem privaten Schlüssel → das ergibt die digitale Signatur
+
*Sie verschlüsselt diesen Hash mit ihrem privaten Schlüssel → das ergibt die digitale Signatur der E-Mail
*Sie fügt ihr eigenes Zertifikat (mit dem öffentlichen Schlüssel) der E-Mail bei
+
*Sie fügt ihr persönliches Zertifikat bei, das ihren öffentlichen Schlüssel enthält und von einer CA signiert wurde
*Die E-Mail wird zusammen mit der Signatur und dem Zertifikat an Bob gesendet
+
*Die E-Mail wird mit Klartext, Signatur und Zertifikat an Bob gesendet
;Bob empfängt die E-Mail
+
;Zweifacher Vertrauensnachweis
*Er erhält die E-Mail im Klartext, inklusive Signatur und Zertifikat von Alice
+
*Die Signatur der CA im Zertifikat bestätigt: Der öffentliche Schlüssel gehört wirklich zu Alice (Identitätsnachweis durch Dritte)
*Sein Mailclient extrahiert das Zertifikat und prüft, ob es von einer vertrauenswürdigen CA signiert ist
+
*Die Signatur der E-Mail beweist: Alice besitzt den privaten Schlüssel zu genau diesem Zertifikat (technischer Besitznachweis)
*Er berechnet selbstständig den Hash über den empfangenen Nachrichtentext
+
;Bob empfängt die signierte E-Mail
;Signaturprüfung
+
*Bob erhält den Klartext, Alices Signatur und ihr Zertifikat
*Der Mailclient entschlüsselt die Signatur mit dem öffentlichen Schlüssel aus Alices Zertifikat
+
*Sein Mailclient prüft zuerst die CA-Signatur im Zertifikat – sie muss von einer vertrauenswürdigen Zertifizierungsstelle stammen
*Er vergleicht den entschlüsselten Hash mit dem selbst berechneten
+
*Dann prüft der Client die E-Mail-Signatur: Er berechnet selbst den Hash über den Nachrichtentext und vergleicht ihn mit dem entschlüsselten Hash aus der Signatur
*Stimmen beide überein, ist die E-Mail unverändert und stammt von der Besitzerin des privaten Schlüssels
 
 
;Ergebnis
 
;Ergebnis
*Die Identität von Alice ist über das Zertifikat verifiziert
+
*Die Signatur ist technisch gültig → Nachricht wurde nicht verändert
*Die Integrität der Nachricht ist durch die Signatur gewährleistet
+
*Das Zertifikat ist von einer bekannten CA → die Identität wurde offiziell bestätigt
*Bob kann sicher sein, dass die Nachricht von Alice stammt und nicht verändert wurde
+
*Die Kombination beider Signaturen beweist: Die E-Mail stammt wirklich von Alice, und sie besitzt den zugehörigen privaten Schlüssel
  
 
=Links=
 
=Links=
 
*https://www.pcwelt.de/ratgeber/S-MIME-und-OpenPGP-Sichere-Mails-142821.html
 
*https://www.pcwelt.de/ratgeber/S-MIME-und-OpenPGP-Sichere-Mails-142821.html

Version vom 25. März 2025, 18:28 Uhr

Zertikat besorgen

  • Zertifikat wird beantragt
  • Man bekommt das Zertifikat von der CA
  • Import des Zertifkats in den Mailclient

Einstellen Mailclient

  • Zertifikat für Digitale Unterschrift auswählen.
  • Zertifikat für die Verschlüsselung auswählen.

Mail versenden

  • Mail mit Digitaler Unterschrift versenden.
  • Zertifkat wird mit gesendet.
  • Mail kommt bei Empfänger autentifiziert an.

Mail erhalten

  • Sender der unser Zertifkat hat. Kann nun Mails zu uns verschlüsselen.
  • Unsere Mail kann nun mit unserem privaten Schlüssel entschlüsselt werden.

Datenbank aufbau

  • Jede signierte Mail geht in unsere Zertifikatdatenbank.
  • Mailadressen aus dieser Datenbank kann man verschlüsselte Mails schicken.

Zu beachten

  • Erste Mail zum Zertikatsaustausch muss unverschlüsselt sein.

Prinzip

Ablauf der Signaturprüfung bei S/MIME

Alice will eine signierte E-Mail an Bob senden
  • Alice schreibt eine E-Mail im Klartext
  • Sie berechnet einen Hash über den Nachrichtentext
  • Sie verschlüsselt diesen Hash mit ihrem privaten Schlüssel → das ergibt die digitale Signatur der E-Mail
  • Sie fügt ihr persönliches Zertifikat bei, das ihren öffentlichen Schlüssel enthält und von einer CA signiert wurde
  • Die E-Mail wird mit Klartext, Signatur und Zertifikat an Bob gesendet
Zweifacher Vertrauensnachweis
  • Die Signatur der CA im Zertifikat bestätigt: Der öffentliche Schlüssel gehört wirklich zu Alice (Identitätsnachweis durch Dritte)
  • Die Signatur der E-Mail beweist: Alice besitzt den privaten Schlüssel zu genau diesem Zertifikat (technischer Besitznachweis)
Bob empfängt die signierte E-Mail
  • Bob erhält den Klartext, Alices Signatur und ihr Zertifikat
  • Sein Mailclient prüft zuerst die CA-Signatur im Zertifikat – sie muss von einer vertrauenswürdigen Zertifizierungsstelle stammen
  • Dann prüft der Client die E-Mail-Signatur: Er berechnet selbst den Hash über den Nachrichtentext und vergleicht ihn mit dem entschlüsselten Hash aus der Signatur
Ergebnis
  • Die Signatur ist technisch gültig → Nachricht wurde nicht verändert
  • Das Zertifikat ist von einer bekannten CA → die Identität wurde offiziell bestätigt
  • Die Kombination beider Signaturen beweist: Die E-Mail stammt wirklich von Alice, und sie besitzt den zugehörigen privaten Schlüssel

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=S/MIME_Prinzip&oldid=60755