S/MIME Prinzip: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (9 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt) | |||
| Zeile 20: | Zeile 20: | ||
=Prinzip= | =Prinzip= | ||
| − | + | = Ablauf der Signaturprüfung bei S/MIME = | |
| + | ;Alice will eine signierte E-Mail an Bob senden | ||
| + | *Alice schreibt eine E-Mail im Klartext | ||
| + | *Sie berechnet einen Hash über den Nachrichtentext | ||
| + | *Sie verschlüsselt diesen Hash mit ihrem privaten Schlüssel → das ergibt die digitale Signatur der E-Mail | ||
| + | *Sie fügt ihr persönliches Zertifikat bei, das ihren öffentlichen Schlüssel enthält und von einer CA signiert wurde | ||
| + | *Die E-Mail wird mit Klartext, Signatur und Zertifikat an Bob gesendet | ||
| + | ;Zweifacher Vertrauensnachweis | ||
| + | *Die Signatur der CA im Zertifikat bestätigt: Der öffentliche Schlüssel gehört wirklich zu Alice (Identitätsnachweis durch Dritte) | ||
| + | *Die Signatur der E-Mail beweist: Alice besitzt den privaten Schlüssel zu genau diesem Zertifikat (technischer Besitznachweis) | ||
| + | ;Bob empfängt die signierte E-Mail | ||
| + | *Bob erhält den Klartext, Alices Signatur und ihr Zertifikat | ||
| + | *Sein Mailclient prüft zuerst die CA-Signatur im Zertifikat – sie muss von einer vertrauenswürdigen Zertifizierungsstelle stammen | ||
| + | *Dann prüft der Client die E-Mail-Signatur: Er berechnet selbst den Hash über den Nachrichtentext und vergleicht ihn mit dem entschlüsselten Hash aus der Signatur | ||
| + | ;Ergebnis | ||
| + | *Die Signatur ist technisch gültig → Nachricht wurde nicht verändert | ||
| + | *Das Zertifikat ist von einer bekannten CA → die Identität wurde offiziell bestätigt | ||
| + | *Die Kombination beider Signaturen beweist: Die E-Mail stammt wirklich von Alice, und sie besitzt den zugehörigen privaten Schlüssel | ||
| + | = Ablauf der Verschlüsselung bei S/MIME = | ||
| + | ;Alice will eine verschlüsselte E-Mail an Bob senden | ||
| + | *Alice schreibt eine E-Mail im Klartext | ||
| + | *Sie benötigt das öffentliche Zertifikat von Bob (X.509, enthält Bobs Public Key) | ||
| + | *Mit diesem Public Key verschlüsselt sie den Nachrichtentext | ||
| + | *Nur Bob kann die Nachricht entschlüsseln, da nur er den zugehörigen privaten Schlüssel besitzt | ||
| + | *Alice kann ihre E-Mail optional zusätzlich signieren, um ihre Identität zu beweisen | ||
| + | ;Bob empfängt die verschlüsselte E-Mail | ||
| + | *Die Nachricht ist nicht lesbar, solange sie nicht entschlüsselt wird | ||
| + | *Sein Mailclient verwendet Bobs privaten Schlüssel zur Entschlüsselung | ||
| + | *Nach der Entschlüsselung ist der ursprüngliche Klartext wiederhergestellt | ||
| + | *Ist die Nachricht signiert, kann zusätzlich die Signatur geprüft werden | ||
| + | ;Voraussetzung für Verschlüsselung | ||
| + | *Alice muss im Besitz von Bobs gültigem öffentlichen Zertifikat sein | ||
| + | *Dieses kann sie aus einer früheren signierten Mail extrahieren oder manuell erhalten (z. B. per Website, LDAP, Schlüsselserver) | ||
| + | ;Sicherheitsprinzip | ||
| + | *Verschlüsselt wird mit dem Public Key des Empfängers | ||
| + | *Entschlüsseln kann nur der Besitzer des zugehörigen Private Keys | ||
| + | *Der Inhalt der Mail ist auch auf dem Mailserver oder beim Abhören nicht lesbar | ||
| + | |||
=Links= | =Links= | ||
*https://www.pcwelt.de/ratgeber/S-MIME-und-OpenPGP-Sichere-Mails-142821.html | *https://www.pcwelt.de/ratgeber/S-MIME-und-OpenPGP-Sichere-Mails-142821.html | ||
Aktuelle Version vom 25. März 2025, 18:29 Uhr
Zertikat besorgen
- Zertifikat wird beantragt
- Man bekommt das Zertifikat von der CA
- Import des Zertifkats in den Mailclient
Einstellen Mailclient
- Zertifikat für Digitale Unterschrift auswählen.
- Zertifikat für die Verschlüsselung auswählen.
Mail versenden
- Mail mit Digitaler Unterschrift versenden.
- Zertifkat wird mit gesendet.
- Mail kommt bei Empfänger autentifiziert an.
Mail erhalten
- Sender der unser Zertifkat hat. Kann nun Mails zu uns verschlüsselen.
- Unsere Mail kann nun mit unserem privaten Schlüssel entschlüsselt werden.
Datenbank aufbau
- Jede signierte Mail geht in unsere Zertifikatdatenbank.
- Mailadressen aus dieser Datenbank kann man verschlüsselte Mails schicken.
Zu beachten
- Erste Mail zum Zertikatsaustausch muss unverschlüsselt sein.
Prinzip
Ablauf der Signaturprüfung bei S/MIME
- Alice will eine signierte E-Mail an Bob senden
- Alice schreibt eine E-Mail im Klartext
- Sie berechnet einen Hash über den Nachrichtentext
- Sie verschlüsselt diesen Hash mit ihrem privaten Schlüssel → das ergibt die digitale Signatur der E-Mail
- Sie fügt ihr persönliches Zertifikat bei, das ihren öffentlichen Schlüssel enthält und von einer CA signiert wurde
- Die E-Mail wird mit Klartext, Signatur und Zertifikat an Bob gesendet
- Zweifacher Vertrauensnachweis
- Die Signatur der CA im Zertifikat bestätigt: Der öffentliche Schlüssel gehört wirklich zu Alice (Identitätsnachweis durch Dritte)
- Die Signatur der E-Mail beweist: Alice besitzt den privaten Schlüssel zu genau diesem Zertifikat (technischer Besitznachweis)
- Bob empfängt die signierte E-Mail
- Bob erhält den Klartext, Alices Signatur und ihr Zertifikat
- Sein Mailclient prüft zuerst die CA-Signatur im Zertifikat – sie muss von einer vertrauenswürdigen Zertifizierungsstelle stammen
- Dann prüft der Client die E-Mail-Signatur: Er berechnet selbst den Hash über den Nachrichtentext und vergleicht ihn mit dem entschlüsselten Hash aus der Signatur
- Ergebnis
- Die Signatur ist technisch gültig → Nachricht wurde nicht verändert
- Das Zertifikat ist von einer bekannten CA → die Identität wurde offiziell bestätigt
- Die Kombination beider Signaturen beweist: Die E-Mail stammt wirklich von Alice, und sie besitzt den zugehörigen privaten Schlüssel
Ablauf der Verschlüsselung bei S/MIME
- Alice will eine verschlüsselte E-Mail an Bob senden
- Alice schreibt eine E-Mail im Klartext
- Sie benötigt das öffentliche Zertifikat von Bob (X.509, enthält Bobs Public Key)
- Mit diesem Public Key verschlüsselt sie den Nachrichtentext
- Nur Bob kann die Nachricht entschlüsseln, da nur er den zugehörigen privaten Schlüssel besitzt
- Alice kann ihre E-Mail optional zusätzlich signieren, um ihre Identität zu beweisen
- Bob empfängt die verschlüsselte E-Mail
- Die Nachricht ist nicht lesbar, solange sie nicht entschlüsselt wird
- Sein Mailclient verwendet Bobs privaten Schlüssel zur Entschlüsselung
- Nach der Entschlüsselung ist der ursprüngliche Klartext wiederhergestellt
- Ist die Nachricht signiert, kann zusätzlich die Signatur geprüft werden
- Voraussetzung für Verschlüsselung
- Alice muss im Besitz von Bobs gültigem öffentlichen Zertifikat sein
- Dieses kann sie aus einer früheren signierten Mail extrahieren oder manuell erhalten (z. B. per Website, LDAP, Schlüsselserver)
- Sicherheitsprinzip
- Verschlüsselt wird mit dem Public Key des Empfängers
- Entschlüsseln kann nur der Besitzer des zugehörigen Private Keys
- Der Inhalt der Mail ist auch auf dem Mailserver oder beim Abhören nicht lesbar