slider

S/MIME - Prof. Dr. Norbert Pohlmann

S/MIME

S/MIME - Secure/Multipurpose Internet Mail Extensions

Was ist Secure/Multipurpose Internet Mail Extensions – S/MIME?


Secure/Multipurpose Internet Mail Extensions (S/MIME) ist ein Standard der IETF zur kryptografischen Absicherung von MIME-Nachrichten, wie etwa E-Mails. Hiermit können MIME-Nachrichten digital signiert, verschlüsselt oder komprimiert werden. Dies geschieht mithilfe asymmetrischer Verschlüsselungsverfahren .

S/MIME hat sich weitestgehend auf dem Markt als Standards für die IT-Sicherheit von E-Mails etabliert. Es werden MIME-basierte Daten in einer E-Mail verschlüsselt/signiert. Während der Übertragung im Internet und auf den E-Mail-Gateways der E-Mail-Dienste sind die MIME-basierte Daten in einer E-Mail vor Einsicht Dritter geschützt, falls verschlüsselt wird.

S/MIME und die alternative PGP sind E-Mail-Sicherheitslösungen, die zueinander nicht kompatibel sind. Das heißt, Nutzer können keine verschlüsselten oder signierten E-Mails untereinander austauschen, obwohl beide Verfahren nach einem ähnlichen Prinzip arbeiten und sogar dieselben kryptografischen Algorithmen verwenden. Für den prinzipiellen Ablauf der Sicherheitsfunktionen siehe auch: E-Mail Sicherheit

Generelle Cyber-Sicherheitsherausforderungen des E-Mail-Dienstes, die bei der Nutzung grundsätzlich betrachtet werden müssen: E-Mail-Sicherheitsherausforderungen

Im Folgenden wird das verwendete Nachrichtenformat, Vertrauensmodell, Schlüsselformat und der Schlüsselverwaltung von “Secure/Multipurpose Internet Mail Extensions” beschrieben.

Nachrichtenformat: S/MIME

Das Nachrichtenformat von S/MIME baut auf dem Multipurpose Internet Mail Extension (MIME)-Datenformat auf, das auch von regulären E-Mails als Datenformat genutzt wird. S/MIME nutzt lediglich eine Erweiterung des MIME-Datenformats, das um zusätzliche kryptografische Elemente erweitert wurde. Durch diese gemeinsame Grundlage ist die Nutzung von S/MIME auf vielen E-Mail-Programmen ohne die Notwendigkeit von zusätzlichen Erweiterungen oder Software bereits möglich.

Nachrichten-Header: MIME

S/MIME - MIME-Header
Abbildung: MIME-Header © Copyright-Vermerk


Nachrichten-Header: S/MIME

Hier wird anhand des Content-Types festgelegt, ob eine E-Mail verschlüsselt und/oder signiert werden soll.

TypSubtypsmime-type ParameterDatei-ErweiterungBeschreibung
multipartsignedBesteht aus zwei Teilen: (1) Daten + MIME-Header generieren Signatur des MIME-Element (2) Kontrolldaten zur Signaturprüfung angegeben durch application/pkcs7-signature
applicationpkcs7-signaturenone.p7sSignaturteil der multipart/signed-Message
pkcs10-mimenone.p10PKCS#10 Zertifikatsanfrage
pkcs7-mimesigned-data.p7mSignierter S/MIME-Datensatz
enveloped-data.p7mVerschlüsselter S/MIME-Datensatz
certs-only.p7cX.509-Zertifikat



Vertrauensmodelle der E-Mail-Sicherheitslösungen S/MIME

Bei jedem Public Key-Verfahren stellt das Cyber-Sicherheitsbedürfnis „Gewährleistung der Authentizität“ für den öffentlichen Schlüssel eine besondere Aufgabe dar. Um die Authentizität eines öffentlichen Schlüssels der Nutzer zu gewährleisten, gibt es verschiedene Vertrauensmodelle für unterschiedliche Public Key-Lösungen.

Bei S/MIME werden für das Cyber-Sicherheitsbedürfnis „Gewährleistung der Authentizität des öffentlichen Schlüssels“ elektronische Zertifikate verwendet, die von Zertifizierungsinstanzen erstellt werden. Damit baut das S/MIME-Konzept auf ein stark hierarchisches und zentralisiertes Vertrauensmodell auf. Die Gewährleistung der Authentizität der Zertifikate beruht auf der digitalen Signatur einer zentralen vertrauenswürdigen Zertifizierungsinstanz (Certification Authority), die die Authentizität für ein gültiges Zertifikat bestätigt. Auf diese Weise kann die Authentizität der Zertifikate gegenüber Dritten verifiziert werden. Ferner gibt es bei S/MIME unterschiedliche Stufen von Zertifikaten, die sich in ihrer Vertrauensstufe unterscheiden, jedoch nicht in ihrer kryptografischen Cyber-Sicherheit . Es gibt drei unterschiedliche Klassen von Zertifikaten.

S/MIME - Vertrauensmodell
Abbildung: Vertrauensmodell S/MIME © Copyright-Vermerk


Bei Klasse-1-Zertifikaten wird die Echtheit der E-Mail-Adresse verifiziert und in die Signatur aufgenommen.

Klasse-2-Zertifikate beinhalten neben der E-Mail-Adresse auch den Namen, die Firma oder Organisation des Antragstellers, die mit dem Personalausweis und dem Handelsregister abgeglichen werden müssen.

Bei Klasse-3-Zertifikaten muss sich der Antragsteller persönlich bei einer Zertifizierungsstelle verifizieren lassen. Die Klassen unterscheiden sich nur in der Stärke der Authentizität.

Schlüsselerstellung und Schlüsselformat

Bei S/MIME ist im Prinzip jeder in der Lage, ein Zertifikat zu erstellen, jedoch ist dies kein gültiges Zertifikat. Gültige Zertifikate können nur durch eine zentrale Zertifizierungsinstanz erstellt werden. In der Regel ist das ein kostenpflichtiger Vertrauensdienstanbieter. Das Schlüsselformat kann nur einen einzigen öffentlichen Schlüssel, eine Nutzer-ID und eine Signatur verwalten. Dieser kann auch nur durch eine offizielle Zertifizierungsstelle signiert werden.

Widerrufen eines Schlüssels

S/MIME pflegt spezielle Certificate Revocation Lists (CRLs). Das sind Sperrlisten, die alle gesperrten Schlüssel beinhalten. Die CRLs werden von den entsprechenden Zertifizierungsstellen (CA) aktualisiert und verwaltet. Die Nutzer müssen sich regelmäßig aktualisierte Sperrlisten herunterladen oder über einen Service prüfen. Eine Überprüfung auf einen gesperrten öffentlichen Schlüssel auch ohne Internet möglich, da die Listen lokal gespeichert werden können. Wird ein Zertifikat beziehungsweise ein Schlüssel widerrufen, kann der Schlüsselinhaber nur einen Antrag stellen; dieser muss dann durch die CA erst bestätigt werden.

Zusammenfassung S/MIME

Bei S/MIME ist das Austauschformat auf dem MIME-Datenformat basiert und dadurch auf vielen E-Mail-Programmen bereits integriert und kommt daher häufig ohne zusätzliche Plug-ins oder Erweiterungen aus. Ferner verwalten zentrale Zertifizierungsinstanzen die Erstellung und Verwaltung von gültigen Zertifikaten.

In der Praxis nutzen große Unternehmen vermehrt S/MIME und Privatpersonen sowie kleine und mittlere Unternehmen mehr PGP.

S/MIME - Secure/Multipurpose Internet Mail Extensions
Abbildung: S/MIME © Copyright-Vermerk



Weitere Informationen zum Begriff “S/MIME”:



Die virtuelle Poststelle

Mail-Verlässlichkeit – Verbreitung und Evaluation

Zur Entwicklung einer IT-Sicherheitskultur – Wie das IT-Sicherheitsgesetz den gesellschaftlichen Umgang mit IT-Risiken fördern kann

IP-Blacklisting zur Spam-Abwehr – Spam-Vermeidung ist besser als Spam-Erkennung

Aktive informationelle Selbstbestimmung in der Online-Welt – Privacy Service macht das Internet vertrauenswürdiger

Tracking im Internet und Selbstdatenschutz



Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download



Vorlesungen zum Lehrbuch Cyber-Sicherheit



IT-Sicherheitsherausforderungen – Wie kann ich mich schützen?

IT Services für Unternehmen – Sicher und passend

Sicherheit mit digitaler Selbstbestimmung – Self-Sovereign Identity (SSI)

Künstliche Intelligenz (KI) und Cybersicherheit



Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Marktplatz IT-Sicherheit: IT-Notfall

Marktplatz IT-Sicherheit: IT-Sicherheitstools

Marktplatz IT-Sicherheit: Selbstlernangebot

Vertrauenswürdigkeits-Plattform


Zurück zur Übersicht




Summary
S/MIME
Article Name
S/MIME
Description
S/MIME ist ein Standard für die Verschlüsselung und das Signieren von MIME-Objekten mit der Hilfe von asymmetrischen Verschlüsselungsverfahren. Das Vertrauensmodell arbeitet auf der Basis von elektronischen Zertifikaten, die von Public-Key-Infrastrukturen (PKI) erstellt werden.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
S/MIME - Secure/Multipurpose Internet Mail Extensions
S/MIME Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten