S/MIME Prinzip
Zertikat besorgen
- Zertifikat wird beantragt
- Man bekommt das Zertifikat von der CA
- Import des Zertifkats in den Mailclient
Einstellen Mailclient
- Zertifikat für Digitale Unterschrift auswählen.
- Zertifikat für die Verschlüsselung auswählen.
Mail versenden
- Mail mit Digitaler Unterschrift versenden.
- Zertifkat wird mit gesendet.
- Mail kommt bei Empfänger autentifiziert an.
Mail erhalten
- Sender der unser Zertifkat hat. Kann nun Mails zu uns verschlüsselen.
- Unsere Mail kann nun mit unserem privaten Schlüssel entschlüsselt werden.
Datenbank aufbau
- Jede signierte Mail geht in unsere Zertifikatdatenbank.
- Mailadressen aus dieser Datenbank kann man verschlüsselte Mails schicken.
Zu beachten
- Erste Mail zum Zertikatsaustausch muss unverschlüsselt sein.
Prinzip
Ablauf der Signaturprüfung bei S/MIME
- 1. Klartext liegt vor
- Der Empfänger sieht die E-Mail im Klartext
- Thunderbird oder ein anderer Client berechnet selbstständig den Hash der Nachricht
- 2. Signatur liegt vor
- Die E-Mail enthält die vom Absender erzeugte digitale Signatur
- Diese ist der verschlüsselte Hash, erzeugt mit dem privaten Schlüssel des Absenders
- 3. Zertifikat liegt bei
- Das X.509-Zertifikat des Absenders ist in der Mail eingebettet
- Es enthält den öffentlichen Schlüssel und wurde von einer CA signiert
- 4. CA-Prüfung
- Der Client prüft, ob die signierende CA vertrauenswürdig ist
- Dazu wird die Signatur im Zertifikat mit dem bekannten CA-Root-Zertifikat validiert
- 5. Signaturprüfung
- Wenn das Zertifikat gültig ist, wird dessen Public Key genutzt
- Damit wird die digitale Signatur entschlüsselt und der enthaltene Hash verglichen
- Stimmt der berechnete Hash mit dem entschlüsselten überein → Signatur ist gültig
- Fazit
- Die CA bestätigt
- Dieses Zertifikat gehört wirklich zu dieser Mailadresse
- Die Signatur zeigt
- Diese konkrete Mail stammt vom Besitzer dieses Zertifikats