Mail-Verschlüsselung mit S/MIME einrichten

S/MIME ist ein Standard zum Signieren und Verschlüsseln von Mails. Es basiert auf der Verwendung von X.509-Zertifikaten und wird von den meisten Mail-Programmen standardmäßig unterstützt. Es ist nicht kompatibel zu OpenPGP, dem anderen weit verbreiteten Verschlüsselungsstandard, d.h. zwischen diesen Systemen ist kein Austausch verschlüsselter Mails möglich.

Einige Zertifizierungsstellen (engl. certification authority; Abkürzung: CA) stellen zur privaten Verwendung kostenlose X.509-Zertifikate aus. Hierbei handelt es sich i.d.R. um Zertifikate der einfachsten Stufe „Class 1”, d.h. es findet keine Prüfung der Identität des Inhabers statt. Für die private Nutzung und zum Einstieg reichen diese Zertifikate aber aus – sie sind nicht mehr oder weniger verlässlich als ein selbst erstellter OpenPGP-Schlüssel.

Anbieter kostenloser S/MIME-Zertifikate

Kostenlose Zertifikate sind u.a. erhältlich bei

• CAcert – cacert.org
  • kostenlose Class 1- und Class 3-Zertifikate – letztere nach Durchlaufen einer Identitätsprüfung
  • bei Class 1-Zertifikaten ist alle sechs Monate eine Erneuerung nötig
  • CAcert muss im Mail-Client und Browser manuell als vertrauenswürdige Zertifizierungsstelle eingerichtet werden – siehe unten
• Actalis – www.actalis.it/products/certificates-for-secure-electronic-mail.aspx
  • kostenloses Class1-Zertifikat mit einem Jahr Gültigkeit
  • Zertifikat des Betreibers wird im Browser als vertrauenswürdig anerkannt, d.h. Actalis gilt als vertrauenswürdige Zertifizierungsstelle
  • Anbieter aus Italien; die Vertragsbedingungen sind auf Italienisch und Englisch verfügbar, die verlinkte Produkseite ist auf Englisch
  • Auf diesen Anbieter bin ich durch einen Beitrag im Blog „Frankys Web” gestoßen, wo es weitere Infos gibt – u.a. den Hinweis, dass der private Schlüssel von Actalis erstellt wird, was im Endeffekt bedeutet, dass der Anbieter zumindest theoretisch die Mails seiner Kunden entschlüsseln könnte. Darauf muss man sich einlassen wollen …
• WISeKey – Produktname WISeID: wiseid.com
  • kostenloses Class1-Zertifikat mit drei Monaten Gültigkeit^[1]Bis April 2021 betrug die Gültigkeitsdauer ein Jahr. Ich habe am 08.04.2021 eine Mail erhalten, in der es hieß, dass ab April 2021 die Gültigkeitsdauer auf drei Monate reduziert wird. Die Firma … Continue reading
  • WISeKey ist ein Schweizer Unternehmen mit Hauptsitz in Genf und ist ebenfalls als vertrauenswürdige Zertifizierungsstelle eingestuft.
  • Die Website ist in Englisch verfügbar; ebenso die Geschäftsbedingungen, die auf der Anmeldeseite für ein neues Konto verlinkt sind.
  • Nachdem man ein Konto angelegt hat, erhält man eine Verifizierungs-Mail. Nach Bestätigung kann man sich einloggen und ein Zertifikat beantragen; dabei gelten weitere Vertragsbedingungen. Das Zertifikat wird sofort vom Anbieter generiert und kann in den Formaten .P12 und .CRT heruntergeladen werden.
    Auch hier wird also der private Schlüssel vom Anbieter generiert, und man muss darauf vertrauen, dass dieser ihn nicht missbraucht.
• Volksverschlüsselung – volksverschluesselung.de
  • Das hochwertige Class3-Zertifikat wird von der Fraunhofer SIT (Fraunhofer-Institut für Sichere Informationstechnologie) angeboten und ist nur für die private Nutzung kostenlos.^[2]Für kleine Unternehmen wird ein ähnliches Produkt mit dem Namen Key2B angeboten. Bei der Beantragung erfolgt eine Authentifizierung mit der Online-Ausweisfunktion des Personalausweises; bei bestimmten Veranstaltungen ist eine Authentifizierung vor Ort möglich.
  • Die Website ist auf Deutsch und enthält ausführliche Informationen; es lohnt auch ein Blick in die FAQ (häufig gestellte Fragen). Um die Beantragung eines Zertifikats und die Schlüsselverwaltung zu vereinfachen, gehört zur Volksverschlüsselung eine Windows-Software; die Zertifikate sind – wie die von anderen Ausstellern – dann auch auf anderen Systemen nutzbar. Auch das Fraunhofer SIT wird als vertrauenswürdige Zertifizierungsstelle in Browsern und Betriebssystemen anerkannt. Der private Schlüssel wird (wie es sein sollte) auf dem PC des Anwenders erzeugt – der Anbieter hat keinen Zugriff.
     
• Comodo (neuer Markenname: Sectigo) – www.instantssl.com/secure-email-certificates-s-mime
  • ist als kommerzieller Anbieter in den meisten Mail-Programmen und Browsern als vertrauenswürdige Zertifizierungsstelle voreingestellt, was den Umgang mit den Zertifikaten vereinfacht
  • Die kostenlosen Class 1-Zertifikate haben eine Gültigkeitsdauer von 30 Tagen und werden inzwischen auch nur noch als „Trial Email Certificate” bezeichnet (also zum Ausprobieren); die früher mögliche Ausgabe von Zertifikaten mit einer eine Gültigkeitsdauer von 12 Monaten wurde im ersten Halbjahr 2019 eingestellt.
    Eine sinnvolle Nutzung von S/MIME ist mit so einem Probier-Zertifikat natürlich nicht mehr möglich.
  • keine kostenlosen Class 3-Zertifikate
  • Wie man ein Zertifikat von Comodo erhält, ist ausführlich auf einer Hilfeseite des Mailanbieters Posteo beschrieben. Abweichungen zum Vorgehen bei CAcert kann man dort nachlesen.
• weitere
  • Secorio (verwendet Comodo-Zertifikate; 1 Monat Gültigkeit; s.o.): www.secorio.com/de/bestellen – S/MIME FAQ
  • auch andere Anbieter (siehe Liste bei mozillaZine) stellen oft nur eingeschränkte oder kurzzeitig gültige Test-Zertifikate aus

Import bzw. Installation der CAcert-Stammzertifikate

CAcert (cacert.org) ist eine von der Community betriebene CA in der Form eines Vereins mit Sitz in Australien, in dem jede*r Mitglied werden kann. Sie ist nicht kommerziell ausgerichtet und stellt für ihre Mitglieder kostenlos sowohl Class 1- als auch hochwertigere Class 3-Zertifikate aus. Im Gegensatz zu vielen kommerziellen CAs ist CAcert in den meisten Mail-Programmen und Web-Browsern nicht als vertrauenswürdige Zertifizierungsstelle eingetragen. Um CAcert-Zertifikate für die Kommunikation zu verwenden, müssen alle Kommunikationspartner die Stamm- (oder Root-)Zertifikate von CAcert manuell auf ihrem System installieren. Hierzu besitzen die Programme eine eigene Zertifikatsverwaltung oder verwenden die des Betriebssystems.

Wenn CAcert nicht als vertrauenswürdige Zertifizierungsstelle eingetragen ist, erhält man z.B. beim Aufruf einer verschlüsselten Seite, die sich mit einem CAcert-Zertifikat ausweist (wie www.cacert.org selbst), den Hinweis auf eine „nicht vertrauenswürdige Verbindung“, bei der die Herkunft des Zertifikats nicht überprüft werden kann. Übernimmt man die Root-Zertifikate von CAcert manuell in den Zertifikatsspeicher, werden alle von CAcert ausgestellten Zertifikate ohne weitere Nachfragen beim Benutzer als gültig angesehen. (Wenn man das nicht will, muss man jedes Zertifikat einzeln als Ausnahme akzeptieren.)

Der Aufwand zum Installieren der Zertifikate ist überschaubar und fällt nur einmal an – ausführlich ist das auf einer Hilfeseite von CAcert beschrieben. Im Browser genügt es, auf der hier gezeigten Seite Class 1-Stammzertifikat und Class 3-Zwischenzertifikat von CAcert anzuklicken (im PEM-Format).

Im folgenden Dialog sollte man durch Anklicken des Buttons Ansicht überprüfen, dass die dort angezeigten SHA1-Fingerprints mit denen auf der CAcert-Seite übereinstimmen – das gilt generell beim Akzeptieren von fremden Zertifikaten oder Schlüsseln: man prüft bei der Übernahme den Fingerprint, um sicherzustellen, dass man ein unverfälschtes, tatsächlich zum Inhaber passendes Zertifikat installiert.

Zur Installation im Mail-Programm speichert man die Class 1- und Class 3-Zertifikate auf dem eigenen Rechner (Rechtsklick auf die Datei, Speichern unter... auswählen; direktes Anklicken installiert sie im Browser). Bei Thunderbird öffnet man dann die Zertifikatsverwaltung über das Menü Extras → Konten-Einstellungen und wählt bei einem der dort eingetragenen Konten den Menüpunkt S/MIME-Sicherheit. Nach einem Klick auf den Button Zertifikate verwalten... importiert man im Reiter Zertifizierungsstellen die beiden vorher gespeicherten Dateien. Auch wenn man im Thunderbird mehrere Mail-Konten verwaltet, ist dieser Import nur einmal nötig, weil der Zertifikatsspeicher für alle Konten gilt. Zum Austausch von Mails müssen sowohl Absender als auch Empfänger die Zertifikate installieren – das macht die Verwendung von CAcert-Zertifikaten unpraktischer als bei Comodo, weil auch der Empfänger tätig werden muss.

Ob die Installation der Zertifikate erfolgreich war, kann man in der jeweiligen Zertifikatsverwaltung überprüfen – sie sind dort im Reiter Zertifizierungsstellen unter dem Namen „Root-CA” eingetragen. Im Firefox findet man sie im Menü Extras → Einstellungen → Datenschutz & Sicherheit / Zertifikate und Anklicken des Buttons Zertifikate anzeigen, im Thunderbird wie oben beschrieben.

Ein CAcert-Zertifikat erhalten

Um ein Zertifikat zu bekommen, muss man zuerst bei CAcert Mitglied werden – hierzu registriert man sich mit Name, Geburtsdatum und Mailadresse (das muss nicht die Adresse sein, für die man ein Zertifikat haben will – weitere Adressen lassen sich im Benutzerkonto hinzufügen). Kosten oder irgendwelche Verpflichtungen sind mit einer Mitgliedschaft nicht verbunden. Man erhält nach kurzer Zeit eine Bestätigungsmail mit einem Link, den man innerhalb von 24 Stunden anklicken muss. Damit ist das Konto eröffnet, man ist Mitglied bei CAcert und kann mit dem Ausstellen eines eigenen (Class 1-)Zertifikats beginnen. Diese haben bei CAcert eine Gültigkeit von einem halben Jahr und können dann erneuert (verlängert) werden – CAcert schickt 45 Tage vor Ablauf des Zertifikats eine erste Erinnerungsmail; eine weitere 15 Tage und einen Tag vor Ablauf.

Nach Anmeldung im Benutzerkonto wählt man rechts im Menü Client-Zertifikate → neu.

Die Voreinstellungen kann man so übernehmen. Wenn man ein Zertifikat für mehrere Mail-Adressen erstellen will, trägt man diese vorher über den Menüpunkt E-Mail-Adressen ein und wählt in dem oben gezeigten Dialog alle gewünschten Adressen aus. Nach Klicken auf Weiter wird im Browser ein Zertifikat erzeugt. Der zugehörige öffentliche Schlüssel (public key) wird im nächsten Schritt angezeigt und kann in verschiedenen Formaten heruntergeladen werden (muss aber nicht – er wird beim Signieren einer Nachricht automatisch mit an den Empfänger übermittelt und kann auch später noch aus dem kompletten Zertifikat generiert werden):

• PEM (Privacy Enhanced Mail; Dateiendung .CRT) ist ein Text-Format (BASE64-Kodierung); der Dateiinhalt entspricht dem im Browser angezeigten Block von Zeichen
• DER (Distinguished Encoding Rules; Dateiendung .CER) ist ein Binärformat

Wenn das Zertifikat erstellt wurde, klickt man den oberen Link an und installiert so das Zertifikat im Browser. Den nun folgenden Hinweis, eine Sicherung des Zertifikats zu erstellen, befolgt man, denn diese wird zum Import in das Mail-Programm benötigt. Die Sicherung erstellt man in der Zertifikatsverwaltung von Firefox wie folgt: Menü Extras → Einstellungen → Datenschutz & Sicherheit / Zertifikate → Zertifikate anzeigen → Ihre Zertifikate. Dort befindet sich ein Eintrag von CAcert für das eigene Zertifikat – sind mehrere vorhanden, unterscheidet man sie anhand der Seriennummer. Man wählt den Eintrag aus und klickt auf Sichern..., um das Zertifikat in einer mit einem Passwort geschützten Datei zu speichern (Dateiformat PKCS #12; Endung .P12). Diese Zertifikatsdatei enthält auch den privaten Schlüssel, der nirgends sonst gespeichert ist (vor allem nicht bei der Zertifizierungsstelle). Deshalb sollte man das Passwort sorgfältig wählen und die Datei am besten auch noch an einer anderen Stelle speichern (z.B. auf einem USB-Stick), damit das Zertifikat auch bei einem Festplattencrash nicht verloren ist.

Der private Schlüssel und das zugehörige Passwort sind geheim. Man gibt diese niemals an jemand anderen heraus – ähnlich der PIN zu einem Bankkonto – und bewahrt sie sorgfältig auf.

Einrichten des S/MIME-Zertikats im Mail-Client

Um signierte oder verschlüsselte Mails schreiben zu können, importiert man sein Zertifikat in das Mailprogramm. Bei Thunderbird erfolgt das über das Menü Extras → Konten-Einstellungen. Im gewünschten Konto, dessen Mail-Adresse im Zertifikat enthalten ist, wählt man den Eintrag S/MIME-Sicherheit. Nun importiert man über den Button Zertifikate verwalten... / Ihre Zertifikate das vorher vom Firefox exportierte Zertifikat, also die .p12-Datei. Hierbei wird das Passwort abgefragt.

Jetzt kann man unter S/MIME-Sicherheit für das Feld Digitale Unterschrift das eben importierte eigene Zertifikat auswählen. Wie angeboten übernimmt man dieses auch zur Ver- und Entschlüsselung.

Wie sinnvoll das standardmäßige Signieren der eigenen Mails ist, muss man selbst entscheiden und das Häkchen bei Nachrichten digital unterschreiben (als Standard) setzen oder nicht. Erst einmal schadet es nicht, alle Nachrichten zu signieren und damit auch Werbung für Mail-Verschlüsselung zu machen – der Text der Mail bleibt weiter unverschlüsselt und also auch für Empfänger lesbar, die keine Verschlüsselung einsetzen. Die digitale Signatur wird als Mail-Anhang verschickt. Bei jemandem, der keine Verschlüsselung nutzt, kann aber so ein unbekannter Anhang zu Nachfragen führen, warum man den Anhang nicht öffnen kann und ob da irgendetwas Wichtiges enthalten ist. Und gerade bei Zertifikaten von CAcert muss man bedenken, dass diese auch Sicherheitswarnungen auslösen können, solange der Empänger die CAcert-Stammzertifikate (s.o.) nicht auf seinem System installiert hat.

Wenn man anschließend eine Mail schreibt und signiert, wird diese beim Empfänger im Thunderbird mit dem Symbol eines versiegelten Umschlags markiert. Wenn er diesen anklickt, sieht er, dass die Mail unterschrieben und ihr Inhalt auf dem Transportweg nicht verändert wurde. Technisch erhält die Mail einen Anhang „SMIME.7PS”, der u.a. den öffentlichen Schlüssel des Absenders enthält (binäres Dateiformat PKCS #7 für digitale Signaturen). Mit diesem öffentlichen Schlüssel kann der Mail-Empfänger dem Absender eine verschlüsselte Mail als Antwort schreiben, wenn er möchte und selbst über ein X.509-Zertifikat verfügt.

Class 3-Zertifikate bei CAcert

Um länger gültige Class 3-Zertifikate nutzen zu können, in denen auch der eigene Name hinterlegt ist, muss man ein durch Identitätsprüfungen verifiziertes CAcert-Mitglied werden. Es wird also sichergestellt, dass man tatsächlich die Person ist, deren Name mit dem Zertifikat verknüpft ist.

Hierzu findet man im Mitgliedskonto ein sog. Vertrauensnetzformular (engl. WoT Form; WoT = Web of Trust, dt. Vertrauens-Netzwerk) als PDF-Datei. Dieses druckt man aus und lässt bei persönlichen Treffen durch mehrere vertrauenswürdige Mitglieder (engl. assurer) die eigene Identität bestätigen, indem man sich mit einem Lichtbildausweis (Personalausweis, Pass, Führerschein) ausweist. Ab 50 Punkten gilt man als verifiziertes Mitglied. Je nach Vertrauensstufe der assurer erhält man zwischen 10 und 35 Punkte, d.h. man muss sich mit zwei bis fünf Assurern treffen. Kontaktpersonen in der Nähe findet man über eine Suchfunktion im Mitgliedskonto.

Glossar: Erklärungen und Links zum Weiterlesen

Ich verwende als Mail-Programm Thunderbird und als Browser Firefox und ab und zu Vivaldi (Chrome), meist unter Windows. Auf diese Programme bezieht sich die obige Beschreibung. Mit der Suchmaschine der Wahl finden sich Informationen für andere Programme und Betriebssysteme.

S/MIME

S/MIME ist ein Standard zum Signieren und Verschlüsseln von Mails. Verschlüsseln heißt, der Inhalt einer Nachricht ist nur für Absender und Empfänger lesbar. Wichtig zu wissen ist, dass die Verschlüsselung nur den Inhalt der Mail betrifft. Die sog. Header-Daten bleiben weiter lesbar – das ist neben Absender und Empfänger vor allem der Betreff (engl. subject). Man sollte also darauf achten, bei verschlüsselten Mails keine sensiblen Informationen in den Betreff zu schreiben (“xyz hat Krankheit abc”). Beim Signieren bleibt die Nachricht zwar für alle lesbar, anhand der Unterschrift kann der Empfänger aber prüfen, dass die Mail tatsächlich vom angegebenen Absender stammt (Identität) und nicht auf dem Übertragungsweg verändert oder verfälscht wurde (Integrität).

S/MIME basiert auf der Verwendung von X.509-Zertifikaten und wird von den meisten Mail-Programmen standardmäßig unterstützt. Es ist nicht kompatibel zu OpenPGP, dem anderen weit verbreiten Verschlüsselungsstandard, dessen bekannteste Implementierungen PGP (Pretty Good Privacy) und GnuPG, der quelloffene GNU Privacy Guard. sind. Zwischen S/MIME- und OpenPG-Systemen ist also kein Austausch verschlüsselter Mails möglich.

Asymmetrische Verschlüsselung

Bei einer asymmetrischen Verschlüsselung besitzt jede*r Anwender*in zwei Schlüssel (das sog. Schlüsselpaar): einen privaten (geheimen), nur ihr bekannten, und einen öffentlichen Schlüssel, den auch die Kommunikationspartner kennen. Der Vorteil ist, dass Absender und Empfänger einer Nachricht keinen gemeinsamen Geheim-Schlüssel vereinbaren müssen (den nur sie kennen, also muss er auch geheim übertragen werden), sondern einfach ihre öffentlichen Schlüssel untereinander austauschen.

Der Absender verschlüsselt Daten bzw. Nachrichten mit dem öffentlichen Schlüssel (engl. public key) des Empfängers. Der Empfänger verwendet zum Entschlüsseln der Nachricht dann seinen eigenen privaten Schlüssel. Hierdurch wird die Vertraulichkeit gewährleistet – nur Absender und Empfänger kennen den Klartext der Nachricht. Ähnlich funktioniert das Signieren (Unterschreiben) einer Nachricht: Der Absender signiert mit seinem privaten Schlüssel, der Empfänger überprüft die Signatur mit dem öffentlichen Schlüssel des Absenders und kann so bestätigen, dass die Nachricht tatsächlich vom angegebenen Absender stammt (Authentizität) und nicht verändert wurde (Integrität).

Wegen der zentralen Rolle der öffentlichen Schlüssel werden solche Verfahren auch als Public-Key-Verschlüsselung bezeichnet, die darauf basierenden Systeme als Public-Key-Infrastruktur (PKI). Die Schutzziele Vertraulichkeit (engl. Confidentiality), Integrität (Integrity) und Authentizität (Authenticity) werden auch unter dem Begriff „CIA-Prinzip” zusammengefasst. Warum Ver- und Entschlüsselung mit unterschiedlichen privaten und öffentlichen Schlüsseln funktionieren, basiert auf komplexen mathematischen Verfahren (u.a. unter Verwendung von sehr großen Primzahlen mit mehreren hundert Stellen; siehe Wikipedia: Einwegfunktion und Primfaktorzerlegung).

Zertifikate

Zertifikate bestätigen die Gültigkeit der für die Verschlüsselung verwendeten privaten und öffentlichen Schlüssel und werden von Zertifizierungsstellen (CA, engl. certification authority) herausgegeben und damit beglaubigt. Um Verschlüsselung zu nutzen, muss man diesen CAs vertrauen, ihnen also glauben, dass die ausgegebenen Zertifikate gültig sind und keine missbräuchlichen Zertifikate herausgegeben werden. Die wichtigsten kommerziellen CAs sind in den verschiedenen Betriebssystemen, Browsern und Mail-Programmen voreingestellt – dadurch funktioniert z.B. auch der verschlüsselte Aufruf von WWW-Seiten per https-Protokoll ohne weiteres Zutun des Benutzers. Damit es keine (großen) Unterschiede der verschiedenen Browser und Betriebssysteme gibt, koordiniert die Mozilla-Stiftung die CCADB (Common CA Database), bei der verschiedene Hersteller darüber entscheiden, welche Zertifizierungsstellen als vertrauenswürdig gelten und in den ven verschiedenen Produkten voreingestellt werden.
Zertifizierungsstellen werden of auch als „Trustcenter” bezeichnet.

Ein S/MIME-Class 1-Zertifikat ist die einfachste Form eines Zertifikats. Es bestätigt nur, dass der Inhaber des Zertifikats auch im Besitz der damit verbundenen Mail-Adresse(n) ist. Ein Personenname ist mit diesem Zertifikat nicht verknüpft, d.h. es findet keine Identitätsprüfung des Inhabers statt. Class 1-Zertifikate werden also quasi anonym vergeben, die Stufe der Vertrauenswürdigkeit ist relativ niedrig. Zum Einstieg und für die rein private Verwendung reichen solche Zertifikate aber aus.
Ein Class-1-Zertifikat ist vergleichbar mit einem selbst erstellten OpenPGP-Schlüssel, den man von jemandem erhält – auch da weiß man erst einmal nur, dass er für eine bestimmte Mail-Adresse gültig ist. Ob dahinter tatsächlich die vermutete Person steht, muss man erst noch verifizieren, z.B. durch Überprüfung des „Fingerprints” (Fingerabdruck; s.u.) bei einem persönlichen Treffen.

Ein Class 3-Zertifikat enthält zusätzlich auch den Namen des Inhabers. Hierzu muss eine Identitätsprüfung stattfinden, entweder direkt beim Herausgeber des Zertifikats (indem man sich dort persönlich ausweist oder z.B. ein Video-Ident-Verfahren online durchführt) oder durch ein sog. Vertrauensnetzwerk (engl. web of trust, WoT). Vereinfacht gesagt, bestätigen dabei bereits vertrauenswürdige Mitglieder des Netzwerks die Identität eines neuen Benutzers, indem sie dessen amtlichen Ausweis (z.B. Personalausweis, Pass oder Führerschein) prüfen und das dokumentieren. Wenn genügend Mitglieder das tun, wird auch das neue Mitglied im gesamten Netzwerk als vertrauenswürdig angesehen und kann seinerseits die Identität anderer neuer Mitglieder prüfen. Der exakte Ablauf am Beispiel von CAcert kann bei Wikipedia nachgelesen werden.

Fingerprint

Mit Fingerprint wird eine (kurze) Prüfsumme über eine Datei (oder allgemein: eine Datenmenge) bezeichnet, die mit einer kryptografischen Hash-Funktion errechnet wird. Die Prüfsumme ändert sich auch bei kleinsten Änderungen der Ausgangsdaten; es ist äußerst schwierig bis unmöglich, zwei verschiedene Dateien mit gleichem Fingerprint zu finden. Berechnet man also selbst die Prüfsumme von erhaltenen Daten und vergleicht sie mit dem Fingerprint, den der Ersteller errechnet hat, kann man recht einfach überprüfen, ob die Daten verändert wurden. Den Fingerprint sollte man aus einer vertrauenswürdigen Quelle erhalten, z.B. von der Website des Urhebers oder im Idealfall durch persönlichen Kontakt. Damit kann man dann Daten auf Integrität prüfen, die man z.B. per Download erhalten hat.
Beispiel: Man lädt eine Datei herunter und berechnet nach dem Downlad deren Fingerprint^[3]Die verschiedenen Betriebssysteme bieten entsprechende Tools an, mit den man diese Berechnungen bzw. Prüfungen durchführen kann. Fingerprints von Zertifikaten können innerhalb der jeweiligen … Continue reading; diesen vergleicht man dann mit dem Fingerprint, den man z.B. auf der Seite des Autors/Urhebers findet. Stimmen sie nicht überein, hat man die Datei vielleicht von einem Dritten erhalten, der sie verändert hat, oder der Download wurde durch einen Angreifer manipuliert.

Ausführliche Erläuterungen gibt es z.B. hier:

• Wikipedia ist wie meistens eine erschöpfende Quelle, auch zur Erläuterung der IT-Fachbegriffe und Abkürzungen wie S/MIME (viele sind bereits oben verlinkt).
• Wie die Mail-Verschlüsselung mit S/MIME in Thunderbird funktioniert, wird ausführlich auf folgender Seite beschrieben: E-Mail-Verschlüsselung mit S/MIME bei Thunderbird Mail DE.
• Der Mail-Provider Posteo bietet zum Thema Ende-zu-Ende-Verschlüsselung ausführliche Hilfeseiten an – u.a. zum S/MIME-Verfahren. Da Posteo sich stark für Anonymität, Datenschutz und Sicherheit einsetzt, findet man im Hilfebereich viel Lesestoff auch zu diesen Themen.

[Quellenangabe zum Beitragsbild (Vorhängeschloss): meineresterampe auf Pixabay; Lizenz: »Freie kommerzielle Nutzung. Kein Bildnachweis nötig.«]