Es gibt 2 Varianten von digitalen Signaturen:

1. PGP/MIME - eine Erweiterung von (Open)PGP/GnuPG
   arbeitet mit selbst erzeugten Schlüsselpaaren
2. S/MIME
   Standard für (hierarchisch) beglaubigte Zertifikate

wobei es für beide Varianten für viele E-Mail-Programme Zusätze gibt, mit denen das transparent in den E-Mail-Client integriert werden kann (das vom ZID unterstützte Programm Thunderbird kann mit S/MIME direkt umgehen, für PGP gibt es z. B. das Add-on Enigmail).
Mit (Open)PGP bzw. GnuPG erzeugt man sich selbst Schlüsselpaare, die Erweiterung PGP/MIME sorgt dann dafür, daß auch Anhänge mitverschlüsselt werden. Für den Standard S/MIME gibt es eine ganze Reihe von Zertifikatsanbietern, einige davon bieten (eingeschränkte) Zertifikate auch gratis an, z. B. Comodo, CAcert und Trustcenter.

Mit Comodo gibt es eine TERENA-Vereinbarung (TCS - TERENA Certificate Service), wodurch alle ausgewiesenen Angehörigen der TU Graz (das sind die Personen, die in ihrer Visitenkarte die Funktion „E-Mail-Zertifikat“ sehen) einfach und gratis S/MIME-Zertifikate von Comodo erhalten können. Wenn eine ausgewiesene Person mehrere Profile hat (etwa Bedienstete und Studierende), dann kann sie derzeit nur für die Bediensteten-E-Mail-Adresse ein Zertifikat bestellen. Weiters dürfen wir nur Zertifikate für Adressen ausstellen, für die wir zentral die Zuordnung Person ⇆ E-Mail-Adresse garantieren können, das sind alle Adressen auf den zentralen E-Mail-Servern des ZID.
Diese Zertifikate sind personenbezogen, d. h. über das TCS kann man keine Zertifikate für funktionsbezogene E-Mail-Adressen (z. B. postmaster, office, ...) beziehen, allerdings gibt es z. B. das oben genannte Gratisservice von Comodo für geliebige Adressen, wo dann das Zertifikat nur auf die Adresse und nicht auf eine Person ausgestellt wird. Siehe auch „Installation von funktionsbezogenen Adressen im Thunderbird mit Firefox“).

• für Apple Mail mit Safari
• für Thunderbird mit Firefox
• für Outlook
• Webmail mit Firefox
• iOS (iPad, iPhone, …)

Moderne E-Mail-Clients (wie Thunderbird) erkennen E-Mail-Zertifikate und zeigen an, wenn eine E-Mail gültig unterschrieben ist.
Der Vorgang des Unterschreibens (oder auch des Verschlüsselns) läuft ganz automatisch ab, es ist nach der Installation (und Aktivierung im E-Mail-Client) nichts mehr zu tun:
Sie können sofort jede E-Mail signieren (bzw. wird automatisch jede E-Mail signiert, wenn Sie das so konfigurieren) und E-Mails an Empfänger, deren Zertifikat in Ihrem Zertifikatsspeicher liegen, auch verschlüsseln. Von jedem Sender, der Ihnen eine unterschriebene E-Mail sendet, wird das Zertifikat automatisch in den Zertifikatsspeicher gelegt.

Wenn schon die erste E-Mail verschlüsselt werden muß, muß man zuerst irgendwie zum öffentlichen Schlüssel des jeweils anderen kommen - das funktioniert entweder durch eine PKI oder einfacher, indem diese Schlüssel z.B. auf der Homepage hinterlegt werden (für PGP am besten im ASCII-Format, für S/MIME im DER-Format) - Beispiel: PGP und S/MIME.

Damit Thunderbird diese Unterschriften automatisch verifizieren kann, müssen Sie in der Zertifikatsverwaltung bestätigen, daß Sie TERENA-Zertifikate für E-Mail-Signatur akzeptieren.

• Falls Sie selbst ein Zertifikat wie oben beantragt haben, dann sind auch die anderen notwendigen Zertifikate bereits in Ihrem Zertifikatsstore, Sie müssen die Zertifikate nun eventuell aber noch explizit akzeptieren.
• Falls Sie selbst kein Zertifikat von TERENA verwenden, die der anderen Benutzer aber akzeptieren wollen, müssen Sie die TERENA-Zertifikatshierarchie erst installieren. Laden Sie dazu von der TCS-Seite die vollständige CA-Hierarchie herunter, wechseln in Thunderbird z. B. über die Kontoverwaltung in den Bereich S/MIME-Sicherheit und wählen „Zertifikate verwalten …“. Sie importieren dort das heruntergeladene Zertifikat, das Sie nun noch für E-Mails akzeptieren müssen.

Um die Zertifikate für E-Mail zu akzeptieren wechseln Sie in der Zertifikatsverwaltung in den Reiter „Zertifizierungsstellen“ und über „The USERTRUST Network“ wählen Sie das „TERENA Personal CA“. Über „Vertrauen bearbeiten...“ bestätigen Sie dann, daß Sie diese Zertifikate für E-Mails akzeptieren.

Thunderbird zeigt Ihnen dann im Header von E-Mails durch ein versiegeltes Kuvert an, wenn E-Mails gültig unterschrieben sind

während verschlüsselte, aber ungültig signierte E-Mails z. B. folgendermaßen angezeigt werden:

Warum die E-Mail ungültig signiert ist, erfahren Sie, wenn Sie das Symbol anklicken.
Mögliche Gründe können z. B. ein abgelaufenes Zertifikat sein, ein Zertifikat, das nicht zum Absender paßt, ein Zertifikat, das Ihr E-Mail-Programm nicht kennt oder dem Sie nicht vertrauen, oder aber wenn die E-Mail nach dem Absenden verändert wurde - kritisch ist in erster Linie, wenn die E-Mail nachträglich verändert wurde.

Aber: Bei nicht signierten E-Mails können Sie i. Allg. nie sicher sein, von wem die Nachricht kommt und ob sie verändert wurde!