SMIME

aus www.kruedewagen.de, Homepage von Ralf und Judith Krüdewagen (Kruedewagen)
Zur Navigation springen Zur Suche springen

Was ist S/MIME ?

Mit S/MIME kann man Emails digital signieren und verschlüsseln, siehe http://de.wikipedia.org/wiki/Elektronische_Signatur für weitere Infos. S/MIME ist neben GnuPG/PGP ein zweiter Standard für sichere Email und verwendet den X.509 Standard..

Als Zertifizierungsstelle verwende ich vorzugsweise CAcert, dessen Root-Zertifikate unter http://www.cacert.org/index.php?id=3&lang=de_DE zu finden sind. Leider sind derzeit diese Root-Zertifikate in den meisten Browsern bzw. Email-Clients nicht enthalten. Daher müssen sie bis auf weiteres auf dem Client manuell installiert werden, was aber recht einfach ist. Eine Anleitung zum Installieren der Email-Zertifikate gibt es hier.

Daneben habe ich auch ein Zertifikat von TC TrustCenter.

Für die Verwendung von S/MIME empfehle ich die Email-Clients Thunderbird oder kmail.

S/MIME Client Hinweise

kmail

Zertifikate

Bei Verwendung des KDE Mail-Clients kmail mit gpgsm und kleopatra müssen nicht offiziell bekannte CA-Root-Zertifikate als vertrauenswürdig eingestuft werden. Um das zu erreichen, trägt man die Fingerprints der CA-Zertifikate mit einem "S" am Ende in die Datei ~.gnupg/trustlist.txt ein. Hier ein Beispiel für CAcert:

135CEC36F49CB8E93B1AB270CD80884676CE8F33 S

Danach sollte man den gpg-agent neu starten bzw. mit "kill -HUP" die neue Konfiguration einlesen lassen. Wenn man nun in kleopatra die Zertifikate neu validiert, sollten die abgeleiteten Zertifikate ebenfalls als vertrauenswürdig eingestuft sein. Tipp: Man kann in kleopatra die unterschiedlichen Zertifikate farblich markieren (Einstellungen -> Kleopatra einrichten).

Einstellungen

Bei der Konfiguration von gpgsm sollte "Niemals eine CRL konsultieren" aktiviert sein.

Starten von gpg-agent

Der gpg-agent sollte beim KDE-Login gestartet werden, z.B. in der Datei ~/.kde/env/gpgagent.sh mit dem Inhalt:

eval "$(gpg-agent --daemon)"

Wenn man dort noch --allow-mark-trusted einfügt, benötigt man wohl nicht mehr das Editieren der truslist.txt, sondern wird interaktiv gefragt, ob man dem Zertifikat vertrauen möchte.

Quellen:

Mein S/MIME Zertifikat

Das S/MIME Zertifikat ist in der Regel in der Email beim Empfänger enthalten, wenn diese vor dem Versand signiert wurde. Der Empfänger muss dann nur noch das Zertifikat importieren (was meist schon automatisch geschieht), um fortan dem Absender verschlüsselte Emails schicken zu können.

Weblinks