Verschlüsseln und Signieren

Das Internet ist ein öffentliches ungesichertes Netzwerk. Ohne weitere Maßnahmen übertragen Sie Daten ungesichert gegen fremde Zugriffe und Veränderungen mit unbekannten Kommunikationspartnern.

Stefan Cink erklärt Verschlüsseln und Signieren auf der IT-SA

http://www.enqsig.de/enqsig.htm und dann rechts im Aktionsfenster

Fremde können die Nachrichten kopieren und mitlesen
d.h. Firmengeheimnisse und andere vertrauliche Informationen sind sehr schlecht in einer normalen Mail aufgehoben.
Fremde können die Nachrichten so gar ändern und weitersenden
Der Empfänger merkt davon nichts. Die ganze Bedeutung kann negiert werden.
Fremde können sich als Sie ausgeben
und quasi Nachrichten in ihrem Namen senden. D.h. vertrauen Sie nicht einem Absender, auch wenn der Inhalt stimmig erscheint

Sie glauben das alles nicht ? Nun vielleicht wird es klarer, wenn wir es mit der guten alten gelben Post erklären:

Sie senden eine Postkarte an einen Empfänger. Der Postbote hat gerade Mittagspause und was hindert ihn daran, während der Frühstückspause statt Zeitung etwas anderes zu lesen. Sicher, es ist per Gesetz verboten aber reicht ihnen das ?
Und wenn er nun noch einen Kugelschreiber hat, dann fügt er einfach seine Anmerkungen hinzu. er "verschönert" einfach ihre Schriftstücke.
Was sollte mich daran hindern , eine Postkarte an ihren Freund zu senden und ihren Namen als Absender drauf zu schreiben ? Der Empfänger hat keine Möglichkeit festzustellen, dass der tatsächliche Absender nicht Sie waren. Maximal über den Poststempel kann der Ort des Posteinwurfs zurückverfolgt werden.

Genau so funktioniert E-Mail im Internet. Und das ist eigentlich nicht mehr gut so. Digitale Signaturen, Verschlüsselung, Identifizierung Zugriffskontrollen sind erforderlich und möglich, wenn Sie wissen wie. Dies ist das Thema dieses Bereichs:

Grundlagen

Grundlagen
Eine Einführung
Vertrauen in Mail
Was sie wissen sollten, wenn Sie wichtige Nachrichten per Mail versenden und empfangen
Verschlüsseln und Signieren
Was sind Public und Private Keys ?
Wozu dienen die Zertifikate ?
Schlüssel
RSA und warum damit nicht direkt verschlüsselt wird
SMTP und die Sicherheit
Grundlegende Informationen zur Sicherheit von SMTP und die verschiedenen Sicherungsoptionen von S/MIME auf dem Client oder Gateway, TLS, VPN
SMime oder PGP
Zwei konkurrierende Verfahren.
SSL-Grundlagen
Eine kurze Einleitung in die Funktionsweise von SSL-Zertifikaten

Zertifikate und CAs

Rolle der CA
Was ist die Aufgabe einer Zertifizierungsstelle?
Zertifikatarten
Feinheiten von Zertifikaten und warum sie nicht immer auf eine signierte Mails verschlüsselt antworten können.
CRL
Zertifikate zurückziehen
CSR
Certificate Signing Request
Firmen CA
Bitte zuerst lesen, ehe Sie eine Windows CA mal schnell installieren:
- Private CA
  Vorüberlegungen ehe Sie ihre erste interne CA installieren
- Zertifikatvorlagen
  Blaupausen für die CA
- Windows 2003 CA installieren
  How-To zur Installation und Erstkonfiguration einer CA
- Windows 2008 CA installieren
  Dokumentation einer Windows 2008 CA Installation.
Clientzertifikat anfordern
Mit einem Zertifikat können Sie ihre eigenen Mails digital signieren und verschlüsselt empfangen.
Auto Enrollment
Automatische Ausstellung von Zertifikaten und deren mögliche Folgen
SANZertifkate
Mehrere Namen im Zertifikat hinterlegen.
Wildcard Zert
Ein *-Zertifikat für alle ?
OpenSSL
Sehr nützliches Tool zum Analysieren und Konvertieren von Zertifikaten und Testen von SSL-Verbindungen.

Verschlüsseln und Signieren

Desktop oder Gateway - Ein Vergleich
Verbindungen
Wer kommuniziert mit wem und wie wird verschlüsselt
Spamfilter TLS
Erweiterte Filter mit Zertifikaten
Qualifizierte Signatur
Die etwas andere Signatur
Angriffe gegen Crypto-Systeme
CRL-Anfragen, Zertifikatsspeicher, LDAP-Server, interne Spammer, CRL-DoS

Gateway-Lösungen

Diese Seite beleuchtet die Funktion, Vorteile aber auch Probleme von Gateway-Lösungen bei der Verschlüsselung und Signierung von Mails

Signieren und Verschlüsseln auf dem Gateway
A lternativen
Ein Gateway kostet erst einmal Geld für die Beschaffung, Installation und Betrieb. Lesen Sie hier eine Betrachtung der Alternativen
Vorteile
Und hier die Argumente, warum ein Gateway das beste ist, was ihrer Firma wiederfahren kann, wenn die das für ihre Umgebung passende Gateway haben
Signiert Empfangen
Ohne weitere Aktion kann ein Gateway die Signatur von eingehenden Mails prüfen und bei Fehlern warnen.
Signiert Senden
Mit einem einzigen Zertifikat auf dem Gateway können alle ausgehenden Mails für alle Versender digital signiert werden.
Signieren und Verschlüsseln
Mit der passenden Signatur der Gegenseite können Gateways elegant die Nachrichten ohne Zutun der Anwender verschlüsseln.
Probleme
Auch wenn PGP bzw. SMIME einen gewissen Standard darstellen, so knirscht es manchmal schon. Hier ein paar Beispiele.

Umsetzung auf dem Client

Wenn sie Privatperson sind oder die Firma keine zentrale Lösung nutzen, dann können Sie heute schon Mails beim Versand signieren und den Kommunikationspartnern ein Verschlüsseln zu erlauben.

Schlüsseltausch
Wie komme ich an den Key der anderen Seite ?
SMIME mit Outlook
SMIME mit OWA2003
SMIME mit OWA2007
SMIME mit OWA2010
SMIME und Windows Mobile
SMIME und Blackberry

De-Mail, ePost und Alternativen

Neuauflage der BTX "Geschlossene Benutzergruppe" oder mehr ?

Zertifizierte Mail
Sind De-Mail und ePost denn alleine auf der Welt oder wie könnte eine Lösung für alle mit dem normalen Postfach aussehen
ePost Neuauflage
Die Deutsche Post startet einen neuen Versuch eines Mailsystems als De-Mail Konkurrent
De-Mail
Der sichere Mail per Gesetz ?
- De-Mail Prinzip
  De-Mail etabliert eine Art "Geschlossene Benutzergruppe". Nur eindeutig identifizierte Teilnehmer können miteinander kommunizieren.
- De-Mail Betreiber
  Welche Firmen betreiben das System, wenn unser Staat nicht als Betreiber auftritt ?
- De-Mail für Privatanwender
  Wie kann ich als einzelne Person De-Mail nutzen, damit meine Bank, meine Versicherung oder auch das Finanzamt mit mir sicher kommunizieren kann
- De-Mail für Firmenanbindung
  Was bedeutet De-Mail für mich als Firma, wenn ich als Firma z.B. die De-Mail-Bevölkerung mit signierten und verschlüsselten Nachrichten versorgen will ?
- De-Mail Verschlüsselung
  Wie und wo verschlüsselt De-Mail ?
- De-Mail FAQ
  Einige Frage und Antworten, wobei einige Fragen noch nicht beantwortet sind.
- De-Mail Rewrite Agent
  Exchange 2007/2010 direkt an De-Mail anbinden.

Lösungen für Firmen

Benutzerzertifikate im AD
Wo liegen sie, wie können Sie exportiert und importiert werden.
Clientzertifikat Roaming
Wie die privaten Schlüssel zwischen PCs mitgenommen werden können
Steganografie
Verschlüsselte Elemente sind Ziel für Crackversuche. Verschleiern und Tarnen kann ebenso effizient sein.
Rights Management Server
Ohne Zertifikate aber als effektiver Dokumentschutz gegen Weiterleiten, Ausdrucken etc.

SSL einrichten

CA-Auswahl - Welche Zertifizierungsstelle ist die Richtige ?
Comodo 30 Tage SSL
Installation eines offiziellen SSL-Zertifikats mit einem 30 Tage Test Zertifikat üben
Zertifikat bei GoDaddy beantragen
Zertifikat bei AlphaSSL beantragen
StartSSL CA
Öffentliches Zertifikat beim Preisbrecher StartCom anfordern
IIS Zertifikat einrichten
Mit wenigen Schritten erweitern Sie ihren Webserver um die Fähigkeit, verschlüsselte Verbindungen zu akzeptieren
Zertifikat mit IIS7 anfordern
How-To zur Generierung eines CSR mit Windows 2008

Jeder Schutz ist aber auch ein Risiko, da sie auch legitime Zugriffe verhindern kann, z.B. wenn Zugangscodes verloren gehen, ein Virenscanner den Schadcode einer verschlüsselten Anlage nicht mehr erkennen kann oder Elemente im Langzeitarchiv nach Jahren nicht mehr lesbar sind, weil die passende Software nicht mehr vorhanden ist. (Stichwort eine mit "Apple Works" geschriebene Diplomarbeit auf der 3.,5" Floppy mit Apple ProDos) Sie sehen also, dass das Thema durchaus vielschichtig ist.

Webcast zu Zertifikaten im Unified Communication Umfeld von TC Trustcenter und mir
http://www.brighttalk.com/webcast/21712

Weitere Links

RFC 3850 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Certificate Handling
http://www.ietf.org/rfc/rfc3850.txt
"..Receiving agents MUST recognize and accept certificates that contain no email address. .."
Trustworthy Messaging Get Started
http://www.microsoft.com/downloads/details.aspx?familyid=f7a20ed4-3cd9-4d31-8447-754a33712597&displaylang=en
S-Trust Zertifikate
Startseite: http://www.s-trust.de
Qualifiziertes Zertifikat http://www.s-trust.de/kartenbasierte_zertifikate/qualifizierte_zertifikate/index.htm
20 Euro/Jahr. Ausgestellt von der Bundesnetzagentur als RootCA.
Trustcenter "Internet ID" 1 Jahr gültig, Kostenfrei, nicht für gewerblich.
http://www.trustcenter.de/products/tc_internet_id.htm
www.pgpi.com PGP ist der quasi Standard ehe S/Mime verfügbar wurde. Es gibt auch ein Outlook PlugIn
The GNU Privacy Guard
http://www.gnupg.org/de/index.html * http://www.gnupg.de/
http://www.gdata.de/gpg/
ein kostenfreies PlugIn von gdata basierend auf GnuPG
http://www.heise.de/ct/pgpCA Heise bietet eine PGP CA mit vielen Link zu weiteren PGP Seiten
http://www.helmbold.de/pgp Sehr gute deutsche Seite zu PGP
enQsig - Verschlüsseln und Signieren
EnQsig
http://www.enqsig.de
http://www.cryptoex.com/ (Produkt ist abgekündigt)
http://www.cert.org/
http://www.ritlabs.com/tinyweb/
http://www.psy.uq.edu.au/~ftp/Crypto/
http://www.ssleay.org/
http://www.verisign.com/
http://www.thawte.com/
http://www.Microsoft.com/outlook
Implementing Email Security with Exchange Server 2003
http://www.MSExchange.org/pages/article.asp?id=625
S/MIME mit Mozilla
http://www.mozilla.org/projects/security/pki/psm/smime_guide.html
Ein Angebot für Kartenleser und Zertifikat
http://www.t-systems-telesec.com/trustcenter/tru_08_01_signet.html
129 Euro im T-Punkt Business
http://de.wikipedia.org/wiki/S/MIME
http://de.wikipedia.org/wiki/PGP
CSR dekodieren
https://secure.comodo.net/utilities/decodeCSR.html
Secude Secure Mail - Outlook Addin
http://secude.de/html/fileadmin/old.secude.com/White_Paper_eMail_Verschlusselung.htm
SignTool
http://msdn.microsoft.com/de-de/library/8s9b9yaz(VS.80).aspx
WinHttpCertCfg.exe
Windows HTTP Services Certificate Configuration Tool (WinHttpCertCfg.exe)
http://www.microsoft.com/downloads/details.aspx?familyid=c42e27ac-3409-40e9-8667-c748e422833f&displaylang=en
Tool to install and configure client certificates for IWAM Account
Certificate Support and the Update Root Certificates Component
http://technet.microsoft.com/en-us/library/bb457160.aspx
Windows XP und höher können unbekannte StammCAs "on the fly" bei Microsoft prüfen und dynamisch addieren

Keywords:

De-Mail SMIME Sicherheit