S/MIME E-Mail-Verschlüsselung

Voraussetzungen

Es gibt zwei weit verbreitete Standards für die E-Mail-Verschlüsselung.

  • OpenPGP/GnuPG ist bei Einzelpersonen beliebt,
  • S/MIME/X.509 wird hauptsächlich von Unternehmen verwendet.

Wenn Sie sich nicht sicher sind, welche Sie wählen sollen, sollten Sie OpenPGP verwenden, siehe hier. Diese Seite beschreibt die Verwendung von S/MIME-E-Mail-Verschlüsselung.

Sie können ein kostenloses Zertifikat von Comodo erhalten oder Sie haben bereits eines von Ihrem Unternehmen bekommen. Außerdem müssen Sie OpenSC auf Ihrem System installieren. Während GNU/Linux-Benutzer OpenSC in der Regel über den Paketmanager (z.B. sudo apt install opensc unter Ubuntu) installieren können, können MacOS- und Windows-Benutzer die Installationsdateien von der OpenSC-Seite herunterladen.

Hinweis: Windows-Benutzer mit 64-Bit-System (Standard) müssen sowohl die 32-Bit- als auch die 64-Bit-Version von OpenSC installieren.

Bestehenden Schlüssel und Zertifikat importieren

Die folgende Befehler basieren auf dem Wiki von OpenSC. Wir gehen davon aus, dass Sie bereits ein Schlüsselzertifikatspaar als .p12-Datei erhalten haben. Bitte beachten Sie die Wiki-Seite, wenn Sie eine separate Schlüssel- und Zertifikatsdatei haben.

Um die Windows-Befehlszeile zu öffnen, drücken Sie bitte die Windows-Taste und die R-Taste. Geben Sie nun 'cmd.exe' in das Textfeld ein und drücken Sie die Eingabetaste. Um ein Terminal unter macOS oder GNU/Linux zu öffnen, verwenden Sie bitte die Anwendungssuche (z.B. Spotlight auf macOS).

Um diese Befehle so einfach wie möglich zu gestalten, muss sich die .p12-Datei in Ihrem Heimatordner befinden. Unter Windows ist dies in der Regel 'C:\Users\ihrnutzername' und unter macOS und GNU/Linux System ist es'/home/ihrnutzername'. Wenn Sie die .p12-Datei dort nicht speichern, müssen Sie den Pfad in den folgenden Befehlen anpassen. Bitte stecken Sie den Nitrokey in den USB-Port, bevor Sie die Befehle eingeben.

Angenommen, Ihre Schlüsselzertifikatsdatei heißt 'myprivate.p12', dann sehen die Befehle für Windows so aus:

"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
"C:\Program Files\OpenSC Project\OpenSC\tools\pkcs15-init" --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

Auf macOS und GNU/Linux lauten die Befehle folgendermaßen:

$ pkcs15-init --delete-objects privkey,pubkey --id 3 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin
$ pkcs15-init --delete-objects privkey,pubkey --id 2 --store-private-key myprivate.p12 --format pkcs12 --auth-id 3 --verify-pin

Die beiden Befehle kopieren das Schlüssel-Zertifikatspaar in den Steckplatz 2 (zum Entschlüsseln von E-Mails erforderlich) und den Steckplatz 3 (zum Signieren erforderlich). Die Ausgabe sieht auf beiden Systemen in etwa so aus:

Bitte beachten Sie, dass unter Umständen Fehlermeldungen erscheinen können, die jedoch ignoriert werden können (siehe Beispiel oben).
Sie haben nun das Schlüssel-Zertifikatspaar auf den Nitrokey geladen.

Verwendung

Weitere Informationen zur Nutzung finden Sie auf diesen Seiten:

Fehlerbehebung

  • Unter Windows: Haben Sie sowohl die 32-Bit- als auch die 64-Bit-Version von OpenSC installiert?
  • Nitrokey Storage 2: Sie müssen OpenSC in der Version 0.18 oder höher installieren. Sie finden die Dateien auf der OpenSC-Website für Windows- und MacOS-Benutzer oder hier für Debian/Ubuntu-Benutzer.