Wie sende ich verschlüsselte E-Mails mit der Mail-App?

Alice möchte eine sichere (S/MIME verschlüsselte) E-Mail an Bob senden. Beide verwenden Macs und die Mail-App. Sie erstellen beide selbstsignierte Zertifikate und können signierte Mails austauschen, aber es scheint keine Möglichkeit zu geben, das Vorhängeschloss-Symbol zu aktivieren.

Könnte ihr jemand Anweisungen geben?

Es folgen blutige Details des gescheiterten Versuchs:

Alice googelt und stellt fest , dass sie ein selbstsigniertes Zertifikat in KeyChain.App erstellen muss, was sie über den Assistenten tut (Schlüsselbundzugriff -> Zertifikatsassistent -> Zertifikat erstellen), wobei sie auf Folgendes achtet:

  • Wählen Sie "S/MIME-E-Mail"
  • Aktivieren Sie das Kontrollkästchen "Standardwerte überschreiben lassen".
  • Stellen Sie in "Schlüsselverwendungserweiterung" sicher, dass "Signatur" und "Zertifikatsignierung" sowie "Schlüsselverschlüsselung" und "Datenverschlüsselung" aktiviert sind.
  • in "erweiterte Schlüsselverwendungserweiterung" ist "E-Mail-Schutz" bereits aktiviert, aber aktivieren Sie auch "beliebig", nur für den Fall

Es kann erwähnenswert sein, dass Alices E-Mail als me@alice.com angezeigt wird, während die tatsächliche E-Mail-Adresse bei Gmail lautet: alice@gmail.com. Alice hat auf die harte Tour herausgefunden, dass sie alice@gmail.com im Assistenten verwenden muss.

Sie startet die Mail-App neu. Tatsächlich startet sie nach dem Lesen von Schritt 3 hier die Maschine neu.

Dann verfasst sie eine E-Mail an Bob, der dasselbe getan hat.

Im Betrefffeld bemerkt sie zwei neue Symbole: ein Vorhängeschloss (verschlüsselt J/N) und ein Häkchen (signiert J/N).

Das Häkchen ist blau. Die Nachricht, die sie sendet, wird also signiert. Das Vorhängeschloss ist jedoch ausgegraut.

Jetzt sagt die Dokumentation , dass wenn:

  1. Mail erkennt ihr Zertifikat (das es eindeutig hat) und
  2. Mail findet auch ein Zertifikat in ihrem Schlüsselbund für Bob (was es gibt, weil Bob ihr gerade eine signierte E-Mail geschickt hat und Mail schlau genug war, seinen öffentlichen Schlüssel automatisch zum Schlüsselbund hinzuzufügen – sie kann es dort sehen)

... dann sollte sie in der Lage sein, auf das Vorhängeschloss zu klicken, um ihre E-Mail an Bob zu verschlüsseln.

Aber das scheint nicht zu passieren.

https://www.macobserver.com/tips/quick-tip/macos-using-email-encryption-apples-mail/ ^ Schritt 5 besagt, dass sie dieses Dialogfeld erhalten sollte, wenn sie zum ersten Mal versucht, eine signierte E-Mail zu senden. Aber sie tat es nicht.

Alice beginnt an diesem Punkt, Landschaftsgärtnerei als möglichen Karriereschritt in Betracht zu ziehen.

PS möglicherweise nützlicher Link:

Entschuldigung für die "Nichtantwort", bei der ich versuche, Sie davon zu überzeugen, dass es keinen einfachen Weg gibt, E-Mails zu verschlüsseln, seit wir es seit 1988 und PGP versuchen, und es gibt einfach zu viele E-Mail-Clients und kein zentrales Repository mit Schlüsseln, die dies praktikabel machen Lösung für jedermann, außer für einen gut ausgebildeten Vollzeit-Fachmann für Betriebssicherheit, der verschlüsselte E-Mails effektiv nutzen kann.
Hat Bob Alice eine signierte, verschlüsselte Antwort geschickt, nachdem er ihre signierte, unverschlüsselte E-Mail erhalten hatte?
Hat Alice Bobs selbstsigniertem Zertifikat ausdrücklich vertraut? Bei selbstsignierten Zertifikaten ist dies ein erforderlicher Schritt. Wird Bobs Zertifikat in Alices Schlüsselbund als „vertrauenswürdig“ angezeigt? Außerdem kann es Probleme mit den Zertifikaten geben. Bitte ergänzen Sie Ihre Frage, ob Sie die Zertifikatserweiterungen auf kritisch gesetzt hatten ja oder nein? Haben Sie schließlich die E-Mail-Adresse zum alternativen Namensabschnitt hinzugefügt (als rfc822name)?
Es kann hilfreich sein, wenn Sie den Inhalt der von Ihnen erstellten Zertifikate posten könnten. Um sie in einem für Menschen lesbaren Format zu erhalten, exportieren Sie das Zertifikat aus Ihrem Schlüsselbund im .cerFormat. Verwenden Sie dann im Terminal openssl, um die exportierten Zertifikatsdaten wie folgt anzuzeigen:openssl x509 -inform DER -in alice.cer -text
@zerohedge Nachdem Alice eine signierte, unverschlüsselte E-Mail von Bob erhalten hat, untersucht sie ihren Schlüsselbund und stellt fest, dass er Bobs Zertifikat enthält, das vertrauenswürdig ist. Sie glaubt, dass sie in der Lage sein sollte, eine signierte verschlüsselte E-Mail an Bob zu senden. Mail denkt anders.
@Pi, das beantwortet die Frage jedoch nicht wirklich: Hat Bob eine verschlüsselte E- Mail an Alice gesendet, nachdem er ihre signierte, nicht verschlüsselte E-Mail erhalten hat? (Ich weiß sehr wenig zu diesem Thema, also gehe ich hier vielleicht nur auf die Beine.)
@zerohedge, wenn Bob das könnte, hat er das Problem gelöst.

Antworten (2)

So funktioniert es hier, mit Hilfe eines selbstsignierten Root-Zertifikats:

Schritt 1: Alice erstellt ein selbstsigniertes Stammzertifikat

  • Wählen Sie in der Schlüsselbund-App Schlüsselbundverwaltung > Zertifikat-Assistent > Zertifizierungsstelle erstellen
  • Wählen
    • Identitätstyp: Selbstsignierte Root-CA
    • Benutzerzertifikat: S/MIME (E-Mail)
    • Lassen Sie mich die Standardeinstellungen überschreiben: ja
    • E- Mail von: Geben Sie eine E-Mail-Adresse für die Root-CA ein (könnte die von Alice sein)
    • Wählen Sie im nächsten Dialogfeld Ihre Einladung signieren aus: Nein – optional CA-Website erstellen
    • Geben Sie im nächsten Dialogfeld die gewünschten CA-Daten ein
    • Lassen Sie in den nächsten beiden Dialogfeldern die Schlüsselpaarinformationen unverändert
    • Im nächsten Dialog Key Usage Extension
  • Schlüsselverwendungserweiterung einschließen: ja
  • Diese Erweiterung ist kritisch: nein
  • Wählen Sie: Signature, Certificate Signing (optional mehr, aber nicht erforderlich für ein Root-Zertifikat)
  • Lassen Sie im nächsten Dialogfeld die Schlüsselverwendungserweiterung für das Zertifikat des Benutzers unverändert
  • Setzen Sie im nächsten Dialog optional Include Extended Key Usage Extension = yes, wenn Sie die Root-CA für mehr als nur E-Mail-Zertifikate verwenden möchten – lassen Sie aber immer This extension is critical = no
  • Lassen Sie im nächsten Dialog Use Basic Constraints Extension = Dieses Zertifikat als Zertifizierungsstelle verwenden
  • Belassen Sie in den verbleibenden Dialogfeldern die Auswahl so, wie sie ist
  • Im letzten Dialogfeld Geben Sie einen Speicherort für das Zertifikat an können Sie System auswählen und außerdem Auf dieser Maschine von dieser Zertifizierungsstelle signierten Zertifikaten vertrauen = Ja

Schritt 2: Alice und Bob vertrauen der Root-CA

  • Wenn Alice dem CA-Zertifikat nicht bereits im vorherigen Schritt vertraut hat, wählt sie jetzt das neue Root-CA-Zertifikat in ihrer Schlüsselbund-App aus und vertraut dem CA-Zertifikat ausdrücklich
  • Alice exportiert das öffentliche CA-Zertifikat im .cerFormat und veröffentlicht es für Bob
  • Bob importiert das öffentliche Zertifikat und vertraut dieser Zertifizierungsstelle ausdrücklich

Da Alice und Bob der CA ausdrücklich vertraut haben, wird allen von dieser CA signierten Zertifikaten auf ihren Computern automatisch vertraut.

Schritt 3: Alice erstellt ein E-Mail-Zertifikat für sich.

  • Wählen Sie in der Schlüsselbund-App Schlüsselbundverwaltung > Zertifikat-Assistent > Zertifikat erstellen
  • Geben Sie Alices Namen ein und wählen Sie dann aus
    • Identitätstyp: Blatt
    • Benutzerzertifikat: S/MIME (E-Mail)
    • Lassen Sie mich die Standardeinstellungen überschreiben: ja
  • Nächsten Dialog (Seriennummer etc.) unverändert lassen
  • Geben Sie im nächsten Dialogfeld für E -Mail-Adresse die E-Mail-Adresse von Alice ein, für die dieses Zertifikat bestimmt ist, und füllen Sie optional die restlichen Felder wie gewünscht aus
  • Wählen Sie im nächsten Dialog Choose An Issuer die in Schritt 1 erstellte CA aus
  • Behalten Sie im nächsten Dialogfeld die Schlüsselpaarinformationen unverändert bei
  • Im nächsten Dialog Key Usage Extension
  • Schlüsselverwendungserweiterung einschließen: ja
  • Diese Erweiterung ist kritisch: ja
  • Wählen Sie: Signature, Key Encipherment (optional scheint das Hinzufügen von Data Encipherment möglich zu sein, aber fügen Sie nicht mehr hinzu!)
    • Lassen Sie im nächsten Dialogfeld die Schlüsselverwendungserweiterung für das Zertifikat des Benutzers unverändert
  • Legen Sie im nächsten Dialogfeld optional Extended Key Usage Extension einschließen = Ja fest, aber setzen Sie Diese Erweiterung ist kritisch = Nein
    • Wählen Sie "E-Mail-Schutz*, fügen Sie weitere hinzu, wenn Sie dasselbe Zertifikat für andere Zwecke verwenden möchten
  • Lassen Sie im nächsten Dialog Grundlegende Constraints-Erweiterung einbeziehen = nein
  • Wählen Sie im nächsten Dialogfeld Alternative Namenserweiterung des Betreffs einschließen = ja
    • Verlassen Diese Erweiterung ist kritisch = nein
    • Geben Sie die E-Mail-Adresse (erneut) in das Feld rfc822Name ein. Fügen Sie optional weitere E-Mail-Adressen, getrennt durch Leerzeichen, hinzu, für die Sie das Zertifikat verwenden möchten
  • Im letzten Dialogfeld „ Geben Sie einen Speicherort für das Zertifikat an“ können Sie „ Anmelden “ auswählen

Schritt 4: Alice erstellt ein Zertifikat für Bob

Jetzt wiederholt Alice Schritt 3, um ein Zertifikat für Bob zu erstellen, exportiert dann sein Zertifikat im .p12Format, gibt es ihm und Bob importiert es in seinen Schlüsselbund.

Hinweis: Dies ist der einfachste Weg, Bobs Zertifikat zu erstellen, aber nicht der empfohlene Weg. Dies liegt daran, dass Alice Bobs privaten Schlüssel erstellt, sodass Bob Alice vertrauen muss. Tatsächlich würde Bob den Zertifikatsassistenten auf seinem Computer verwenden, um ein Zertifikat von einer Zertifizierungsstelle anzufordern .

Schritt 5: Alice und Bob senden sich gegenseitig signierte Nachrichten

Alice sendet eine signierte E-Mail-Nachricht an Bob, und Bob sendet eine signierte E-Mail-Nachricht an Alice. Wenn alles gut gegangen ist, werden die Signaturen als vertrauenswürdig angezeigt, da beide dem CA-Zertifikat vertrauen.

Schritt 6: Alice und Bob können verschlüsselte E-Mail-Nachrichten austauschen

Beide können auf die signierte Nachricht unter Verwendung der Verschlüsselung mit der Antwortnachricht antworten.

Meine Güte, danke für die Detailgenauigkeit! Das hat mich doppelt überzeugt, Signal zu nutzen.
Es ist tatsächlich einfacher, als es aussieht, denn sobald Sie die selbstsignierte Zertifizierungsstelle erstellt und ihr öffentliches Zertifikat verteilt haben, funktioniert jedes nachfolgende Zertifikat sofort.

Das wird nicht einfach. Je nachdem, warum Sie verschlüsselte E-Mails verwenden möchten, ist es möglicherweise viel einfacher, sich das Bedrohungsmodell anzusehen und zu sagen: Holen Sie sich eine App wie Signal, die die Verschlüsselungsentscheidungen übernimmt, und Sie wissen, dass Sie verschlüsselte Informationen nur mit dieser App senden.

Nachrichten ist für viele Menschen auch eine praktikable Verschlüsselungsoption, aber ich habe mich für Signal entschieden, da es Windows-/Linux-/Android-Clients hat und E-Mail normalerweise ausgewählt wird, wenn Sie ein möglichst breites Client-Betriebssystemprofil benötigen.

Sofern Ihre Benutzer der Verschlüsselung nicht besser geschult sind, als der obige EFF-Link erfordert, dass Sie Signal verwenden müssen, scheint der Sprung zu sicheren E-Mails ein weitaus höheres Ziel zu sein und nicht etwas, das Sie in einen „drei Absatz hier erfahren Sie, wie Sie E-Mails unter macOS sichern und die Mail-App" könnte gerecht werden.

Nun, wenn E-Mail wirklich benötigt wird, gibt es hier einen Dienst, der eine Bridge-App hat, um die Arbeitslast zu verringern, PGP dazu zu bringen, Apps einfach zu mailen.

Während dies unter bestimmten Umständen eine gültige Meinung sein könnte, beantwortet es die Frage überhaupt nicht.
Eigentlich beantwortet es die Frage hinter der Frage, also +1. Ich habe Signal verwendet, funktioniert wunderbar!
Wie sende ich verschlüsselte E-Mails mit der Mail-App?
AntwortenHierDatenschutz-Bestimmungen1y, 0v