S/MIME Prinzip: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 21: Zeile 21:
 
=Prinzip=
 
=Prinzip=
 
= Ablauf der Signaturprüfung bei S/MIME =
 
= Ablauf der Signaturprüfung bei S/MIME =
;Alice sendet signierte E-Mail an Bob
+
;Alice will eine signierte E-Mail an Bob senden
*Sie schreibt eine E-Mail im Klartext
+
*Alice schreibt eine E-Mail im Klartext
 
*Sie berechnet einen Hash über den Nachrichtentext
 
*Sie berechnet einen Hash über den Nachrichtentext
*Sie verschlüsselt den Hash mit ihrem privaten Schlüssel → das ergibt die digitale Signatur
+
*Sie verschlüsselt diesen Hash mit ihrem privaten Schlüssel → das ergibt die digitale Signatur der E-Mail
*Sie fügt ihr eigenes Zertifikat (mit dem öffentlichen Schlüssel) der E-Mail bei
+
*Sie fügt ihr persönliches Zertifikat bei, das ihren öffentlichen Schlüssel enthält und von einer CA signiert wurde
*Die E-Mail wird zusammen mit der Signatur und dem Zertifikat an Bob gesendet
+
*Die E-Mail wird mit Klartext, Signatur und Zertifikat an Bob gesendet
;Bob empfängt die E-Mail
+
;Zweifacher Vertrauensnachweis
*Er erhält die E-Mail im Klartext, inklusive Signatur und Zertifikat von Alice
+
*Die Signatur der CA im Zertifikat bestätigt: Der öffentliche Schlüssel gehört wirklich zu Alice (Identitätsnachweis durch Dritte)
*Sein Mailclient extrahiert das Zertifikat und prüft, ob es von einer vertrauenswürdigen CA signiert ist
+
*Die Signatur der E-Mail beweist: Alice besitzt den privaten Schlüssel zu genau diesem Zertifikat (technischer Besitznachweis)
*Er berechnet selbstständig den Hash über den empfangenen Nachrichtentext
+
;Bob empfängt die signierte E-Mail
;Signaturprüfung
+
*Bob erhält den Klartext, Alices Signatur und ihr Zertifikat
*Der Mailclient entschlüsselt die Signatur mit dem öffentlichen Schlüssel aus Alices Zertifikat
+
*Sein Mailclient prüft zuerst die CA-Signatur im Zertifikat – sie muss von einer vertrauenswürdigen Zertifizierungsstelle stammen
*Er vergleicht den entschlüsselten Hash mit dem selbst berechneten
+
*Dann prüft der Client die E-Mail-Signatur: Er berechnet selbst den Hash über den Nachrichtentext und vergleicht ihn mit dem entschlüsselten Hash aus der Signatur
*Stimmen beide überein, ist die E-Mail unverändert und stammt von der Besitzerin des privaten Schlüssels
 
 
;Ergebnis
 
;Ergebnis
*Die Identität von Alice ist über das Zertifikat verifiziert
+
*Die Signatur ist technisch gültig → Nachricht wurde nicht verändert
*Die Integrität der Nachricht ist durch die Signatur gewährleistet
+
*Das Zertifikat ist von einer bekannten CA → die Identität wurde offiziell bestätigt
*Bob kann sicher sein, dass die Nachricht von Alice stammt und nicht verändert wurde
+
*Die Kombination beider Signaturen beweist: Die E-Mail stammt wirklich von Alice, und sie besitzt den zugehörigen privaten Schlüssel
 +
= Ablauf der Verschlüsselung bei S/MIME =
 +
;Alice will eine verschlüsselte E-Mail an Bob senden
 +
*Alice schreibt eine E-Mail im Klartext
 +
*Sie benötigt das öffentliche Zertifikat von Bob (X.509, enthält Bobs Public Key)
 +
*Mit diesem Public Key verschlüsselt sie den Nachrichtentext
 +
*Nur Bob kann die Nachricht entschlüsseln, da nur er den zugehörigen privaten Schlüssel besitzt
 +
*Alice kann ihre E-Mail optional zusätzlich signieren, um ihre Identität zu beweisen
 +
;Bob empfängt die verschlüsselte E-Mail
 +
*Die Nachricht ist nicht lesbar, solange sie nicht entschlüsselt wird
 +
*Sein Mailclient verwendet Bobs privaten Schlüssel zur Entschlüsselung
 +
*Nach der Entschlüsselung ist der ursprüngliche Klartext wiederhergestellt
 +
*Ist die Nachricht signiert, kann zusätzlich die Signatur geprüft werden
 +
;Voraussetzung für Verschlüsselung
 +
*Alice muss im Besitz von Bobs gültigem öffentlichen Zertifikat sein
 +
*Dieses kann sie aus einer früheren signierten Mail extrahieren oder manuell erhalten (z. B. per Website, LDAP, Schlüsselserver)
 +
;Sicherheitsprinzip
 +
*Verschlüsselt wird mit dem Public Key des Empfängers
 +
*Entschlüsseln kann nur der Besitzer des zugehörigen Private Keys
 +
*Der Inhalt der Mail ist auch auf dem Mailserver oder beim Abhören nicht lesbar
  
 
=Links=
 
=Links=
 
*https://www.pcwelt.de/ratgeber/S-MIME-und-OpenPGP-Sichere-Mails-142821.html
 
*https://www.pcwelt.de/ratgeber/S-MIME-und-OpenPGP-Sichere-Mails-142821.html

Aktuelle Version vom 25. März 2025, 18:29 Uhr

Zertikat besorgen

  • Zertifikat wird beantragt
  • Man bekommt das Zertifikat von der CA
  • Import des Zertifkats in den Mailclient

Einstellen Mailclient

  • Zertifikat für Digitale Unterschrift auswählen.
  • Zertifikat für die Verschlüsselung auswählen.

Mail versenden

  • Mail mit Digitaler Unterschrift versenden.
  • Zertifkat wird mit gesendet.
  • Mail kommt bei Empfänger autentifiziert an.

Mail erhalten

  • Sender der unser Zertifkat hat. Kann nun Mails zu uns verschlüsselen.
  • Unsere Mail kann nun mit unserem privaten Schlüssel entschlüsselt werden.

Datenbank aufbau

  • Jede signierte Mail geht in unsere Zertifikatdatenbank.
  • Mailadressen aus dieser Datenbank kann man verschlüsselte Mails schicken.

Zu beachten

  • Erste Mail zum Zertikatsaustausch muss unverschlüsselt sein.

Prinzip

Ablauf der Signaturprüfung bei S/MIME

Alice will eine signierte E-Mail an Bob senden
  • Alice schreibt eine E-Mail im Klartext
  • Sie berechnet einen Hash über den Nachrichtentext
  • Sie verschlüsselt diesen Hash mit ihrem privaten Schlüssel → das ergibt die digitale Signatur der E-Mail
  • Sie fügt ihr persönliches Zertifikat bei, das ihren öffentlichen Schlüssel enthält und von einer CA signiert wurde
  • Die E-Mail wird mit Klartext, Signatur und Zertifikat an Bob gesendet
Zweifacher Vertrauensnachweis
  • Die Signatur der CA im Zertifikat bestätigt: Der öffentliche Schlüssel gehört wirklich zu Alice (Identitätsnachweis durch Dritte)
  • Die Signatur der E-Mail beweist: Alice besitzt den privaten Schlüssel zu genau diesem Zertifikat (technischer Besitznachweis)
Bob empfängt die signierte E-Mail
  • Bob erhält den Klartext, Alices Signatur und ihr Zertifikat
  • Sein Mailclient prüft zuerst die CA-Signatur im Zertifikat – sie muss von einer vertrauenswürdigen Zertifizierungsstelle stammen
  • Dann prüft der Client die E-Mail-Signatur: Er berechnet selbst den Hash über den Nachrichtentext und vergleicht ihn mit dem entschlüsselten Hash aus der Signatur
Ergebnis
  • Die Signatur ist technisch gültig → Nachricht wurde nicht verändert
  • Das Zertifikat ist von einer bekannten CA → die Identität wurde offiziell bestätigt
  • Die Kombination beider Signaturen beweist: Die E-Mail stammt wirklich von Alice, und sie besitzt den zugehörigen privaten Schlüssel

Ablauf der Verschlüsselung bei S/MIME

Alice will eine verschlüsselte E-Mail an Bob senden
  • Alice schreibt eine E-Mail im Klartext
  • Sie benötigt das öffentliche Zertifikat von Bob (X.509, enthält Bobs Public Key)
  • Mit diesem Public Key verschlüsselt sie den Nachrichtentext
  • Nur Bob kann die Nachricht entschlüsseln, da nur er den zugehörigen privaten Schlüssel besitzt
  • Alice kann ihre E-Mail optional zusätzlich signieren, um ihre Identität zu beweisen
Bob empfängt die verschlüsselte E-Mail
  • Die Nachricht ist nicht lesbar, solange sie nicht entschlüsselt wird
  • Sein Mailclient verwendet Bobs privaten Schlüssel zur Entschlüsselung
  • Nach der Entschlüsselung ist der ursprüngliche Klartext wiederhergestellt
  • Ist die Nachricht signiert, kann zusätzlich die Signatur geprüft werden
Voraussetzung für Verschlüsselung
  • Alice muss im Besitz von Bobs gültigem öffentlichen Zertifikat sein
  • Dieses kann sie aus einer früheren signierten Mail extrahieren oder manuell erhalten (z. B. per Website, LDAP, Schlüsselserver)
Sicherheitsprinzip
  • Verschlüsselt wird mit dem Public Key des Empfängers
  • Entschlüsseln kann nur der Besitzer des zugehörigen Private Keys
  • Der Inhalt der Mail ist auch auf dem Mailserver oder beim Abhören nicht lesbar

Links

Abgerufen von „http://wiki.ixheim.de/index.php?title=S/MIME_Prinzip&oldid=60756