S/MIME - Prof. Dr. Norbert Pohlmann

S/MIME

Inhaltsverzeichnis

Was ist Secure/Multipurpose Internet Mail Extensions – S/MIME?

Secure/Multipurpose Internet Mail Extensions (S/MIME) ist ein Standard der IETF zur kryptografischen Absicherung von MIME-Nachrichten, wie etwa E-Mails. Hiermit können MIME-Nachrichten digital signiert, verschlüsselt oder komprimiert werden. Dies geschieht mithilfe asymmetrischer Verschlüsselungsverfahren.

S/MIME hat sich weitestgehend auf dem Markt als Standards für die IT-Sicherheit von E-Mails etabliert. Es werden MIME-basierte Daten in einer E-Mail verschlüsselt/signiert. Während der Übertragung im Internet und auf den E-Mail-Gateways der E-Mail-Dienste sind die MIME-basierte Daten in einer E-Mail vor Einsicht Dritter geschützt, falls verschlüsselt wird.

S/MIME und die alternative PGP sind E-Mail-Sicherheitslösungen, die zueinander nicht kompatibel sind. Das heißt, Nutzer können keine verschlüsselten oder signierten E-Mails untereinander austauschen, obwohl beide Verfahren nach einem ähnlichen Prinzip arbeiten und sogar dieselben kryptografischen Algorithmen verwenden. Für den prinzipiellen Ablauf der Sicherheitsfunktionen siehe auch: E-Mail Sicherheit

Generelle Cyber-Sicherheitsherausforderungen des E-Mail-Dienstes, die bei der Nutzung grundsätzlich betrachtet werden müssen: E-Mail-Sicherheitsherausforderungen

Im Folgenden wird das verwendete Nachrichtenformat, Vertrauensmodell, Schlüsselformat und der Schlüsselverwaltung von “Secure/Multipurpose Internet Mail Extensions” beschrieben.

Nachrichtenformat: S/MIME

Das Nachrichtenformat von S/MIME baut auf dem Multipurpose Internet Mail Extension (MIME)-Datenformat auf, das auch von regulären E-Mails als Datenformat genutzt wird. S/MIME nutzt lediglich eine Erweiterung des MIME-Datenformats, das um zusätzliche kryptografische Elemente erweitert wurde. Durch diese gemeinsame Grundlage ist die Nutzung von S/MIME auf vielen E-Mail-Programmen ohne die Notwendigkeit von zusätzlichen Erweiterungen oder Software bereits möglich.

Nachrichten-Header: MIME

S/MIME - MIME-Header — Abbildung: MIME-Header © Copyright-Vermerk

Nachrichten-Header: S/MIME

Hier wird anhand des Content-Types festgelegt, ob eine E-Mail verschlüsselt und/oder signiert werden soll.

Typ	Subtyp	smime-type Parameter	Datei-Erweiterung	Beschreibung
multipart	signed			Besteht aus zwei Teilen: (1) Daten + MIME-Header generieren Signatur des MIME-Element (2) Kontrolldaten zur Signaturprüfung angegeben durch application/pkcs7-signature
application	pkcs7-signature	none	.p7s	Signaturteil der multipart/signed-Message
	pkcs10-mime	none	.p10	PKCS#10 Zertifikatsanfrage
	pkcs7-mime	signed-data	.p7m	Signierter S/MIME-Datensatz
		enveloped-data	.p7m	Verschlüsselter S/MIME-Datensatz
		certs-only	.p7c	X.509-Zertifikat

Vertrauensmodelle der E-Mail-Sicherheitslösungen S/MIME

Bei jedem Public Key-Verfahren stellt das Cyber-Sicherheitsbedürfnis „Gewährleistung der Authentizität“ für den öffentlichen Schlüssel eine besondere Aufgabe dar. Um die Authentizität eines öffentlichen Schlüssels der Nutzer zu gewährleisten, gibt es verschiedene Vertrauensmodelle für unterschiedliche Public Key-Lösungen.

Bei S/MIME werden für das Cyber-Sicherheitsbedürfnis „Gewährleistung der Authentizität des öffentlichen Schlüssels“ elektronische Zertifikate verwendet, die von Zertifizierungsinstanzen erstellt werden. Damit baut das S/MIME-Konzept auf ein stark hierarchisches und zentralisiertes Vertrauensmodell auf. Die Gewährleistung der Authentizität der Zertifikate beruht auf der digitalen Signatur einer zentralen vertrauenswürdigen Zertifizierungsinstanz (Certification Authority), die die Authentizität für ein gültiges Zertifikat bestätigt. Auf diese Weise kann die Authentizität der Zertifikate gegenüber Dritten verifiziert werden. Ferner gibt es bei S/MIME unterschiedliche Stufen von Zertifikaten, die sich in ihrer Vertrauensstufe unterscheiden, jedoch nicht in ihrer kryptografischen Cyber-Sicherheit. Es gibt drei unterschiedliche Klassen von Zertifikaten.

S/MIME - Vertrauensmodell — Abbildung: Vertrauensmodell S/MIME © Copyright-Vermerk

Bei Klasse-1-Zertifikaten wird die Echtheit der E-Mail-Adresse verifiziert und in die Signatur aufgenommen.

Klasse-2-Zertifikate beinhalten neben der E-Mail-Adresse auch den Namen, die Firma oder Organisation des Antragstellers, die mit dem Personalausweis und dem Handelsregister abgeglichen werden müssen.

Bei Klasse-3-Zertifikaten muss sich der Antragsteller persönlich bei einer Zertifizierungsstelle verifizieren lassen. Die Klassen unterscheiden sich nur in der Stärke der Authentizität.

Schlüsselerstellung und Schlüsselformat

Bei S/MIME ist im Prinzip jeder in der Lage, ein Zertifikat zu erstellen, jedoch ist dies kein gültiges Zertifikat. Gültige Zertifikate können nur durch eine zentrale Zertifizierungsinstanz erstellt werden. In der Regel ist das ein kostenpflichtiger Vertrauensdienstanbieter. Das Schlüsselformat kann nur einen einzigen öffentlichen Schlüssel, eine Nutzer-ID und eine Signatur verwalten. Dieser kann auch nur durch eine offizielle Zertifizierungsstelle signiert werden.

Widerrufen eines Schlüssels

S/MIME pflegt spezielle Certificate Revocation Lists (CRLs). Das sind Sperrlisten, die alle gesperrten Schlüssel beinhalten. Die CRLs werden von den entsprechenden Zertifizierungsstellen (CA) aktualisiert und verwaltet. Die Nutzer müssen sich regelmäßig aktualisierte Sperrlisten herunterladen oder über einen Service prüfen. Eine Überprüfung auf einen gesperrten öffentlichen Schlüssel auch ohne Internet möglich, da die Listen lokal gespeichert werden können. Wird ein Zertifikat beziehungsweise ein Schlüssel widerrufen, kann der Schlüsselinhaber nur einen Antrag stellen; dieser muss dann durch die CA erst bestätigt werden.

Zusammenfassung S/MIME

Bei S/MIME ist das Austauschformat auf dem MIME-Datenformat basiert und dadurch auf vielen E-Mail-Programmen bereits integriert und kommt daher häufig ohne zusätzliche Plug-ins oder Erweiterungen aus. Ferner verwalten zentrale Zertifizierungsinstanzen die Erstellung und Verwaltung von gültigen Zertifikaten.

In der Praxis nutzen große Unternehmen vermehrt S/MIME und Privatpersonen sowie kleine und mittlere Unternehmen mehr PGP.

Weitere Informationen zum Begriff “S/MIME”:

Artikel

„Die virtuelle Poststelle“

„Mail-Verlässlichkeit – Verbreitung und Evaluation“

„Zur Entwicklung einer IT-Sicherheitskultur – Wie das IT-Sicherheitsgesetz den gesellschaftlichen Umgang mit IT-Risiken fördern kann“

„IP-Blacklisting zur Spam-Abwehr – Spam-Vermeidung ist besser als Spam-Erkennung“

„Aktive informationelle Selbstbestimmung in der Online-Welt – Privacy Service macht das Internet vertrauenswürdiger“

„Tracking im Internet und Selbstdatenschutz“

Bücher

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

Vorlesungen

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

Vorträge

„IT-Sicherheitsherausforderungen – Wie kann ich mich schützen?“

„IT Services für Unternehmen – Sicher und passend“

„Sicherheit mit digitaler Selbstbestimmung – Self-Sovereign Identity (SSI)“

„Künstliche Intelligenz (KI) und Cybersicherheit“

Webseiten

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Zurück zur Übersicht

Summary

Article Name

S/MIME

Description

S/MIME ist ein Standard für die Verschlüsselung und das Signieren von MIME-Objekten mit der Hilfe von asymmetrischen Verschlüsselungsverfahren. Das Vertrauensmodell arbeitet auf der Basis von elektronischen Zertifikaten, die von Public-Key-Infrastrukturen (PKI) erstellt werden.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo

S/MIME Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten