Funktionsweise von S/MIME
Man bezeichnet S/MIME als ein asymmetrisches Signier- und Verschlüsselungsverfahren, da eine Nachricht, die mit einem öffentlichen Schlüssel kodiert worden ist, nur mit dem zugehörigen privaten Schlüssel wieder dekodiert werden kann – und umgekehrt. Sowohl das Signier- als auch das Verschlüsselungsverfahren von S/MIME gilt als sehr sicher: Würde ein Angreifer zwei Milliarden Schlüssel in der Sekunde ausprobieren, bräuchte er länger als das geschätzte Lebensalter des Weltalls, um alle Signatur- oder Verschlüsselungs-Möglichkeiten durchzurechnen.
Der private Schlüssel ist nie direkt einsehbar, er verbleibt beim jeweiligen E-Mail-Teilnehmer und wird mit einem persönlichen Passwort in seinem E-Mail-System gespeichert. Der private Schlüssel ermöglicht es seinem Inhaber, mit seinem öffentlichen Schlüssel von anderen Kommunikationspartnern für ihn verschlüsselte Daten zu entschlüsseln sowie eigene digitale Signaturen zu erzeugen und sich damit zu authentisieren.
Alle öffentlichen Schlüssel sind im Klartext lesbar und ermöglichen es jedem E-Mail-Teilnehmer, Nachrichten für andere mit deren öffentlichem Schlüssel zu verschlüsseln sowie damit deren digitale Signaturen zu prüfen und sie so zu authentifizieren. In einer signierten E-Mail wird der öffentliche Schlüssel des Absenders mitgeschickt, zusammen mit einem Prüfcode, der den Inhalt der Nachricht eindeutig identifiziert. Beim Empfänger der signierten Mail wird zunächst der gleiche Prüfcode erzeugt und zusätzlich der mitgeschickte (verschlüsselte) Prüfcode des Absenders mit dessen öffentlichen Schlüssel dekodiert. Stimmen beide Prüfcodes überein, kann sich der Empfänger sicher sein, dass die gesendete Nachricht seit dem Abschicken durch den Absender nicht mehr verändert wurde – das ist exakt der Sinn und Zweck einer Unterschrift. Ein erstmals erhaltener öffentlicher Schlüssel eines E-Mail-Absenders wird im E-Mail-System des Empfängers dauerhaft gespeichert.
Sobald ein E-Mail-Teilnehmer den öffentlichen Schlüssel seines Korrespondenzpartners besitzt, kann er ihm eine verschlüsselte E-Mail senden. Eine E-Mail wird grundsätzlich mit dem öffentlichen Schlüssel des angedachten Empfängers verschlüsselt. Der Empfänger kann die E-Mail lesen, indem er sie bei Erhalt mit seinem privaten Schlüssel dekodiert und dann im Klartext anzeigt. Insofern gibt es zwei Möglichkeiten, um den öffentlichen Schlüssel eines E-Mail-Teilnehmers zu erhalten:
1. Der angedachte Empfänger der verschlüsselten E-Mail versendet vorab eine signierte E-Mail (die immer seinen öffentlichen Schlüssel enthält) an seinen Kommunikationspartner.
2. Der Absender einer verschlüsselten E-Mail lädt vorab den öffentlichen Schlüssel seines Kommunikationspartner von der Website der CA herunter und installiert ihn in seinem E-Mail-System.
Danach können sich die Kommunikationsteilnehmer gegenseitig verschlüsselte und/oder signierte E-Mails zusenden.