Verschlüsseln und Signieren

Das Internet ist ein öffentliches ungesichertes Netzwerk. Ohne weitere Maßnahmen übertragen Sie Daten ungesichert gegen fremde Zugriffe und Veränderungen mit unbekannten Kommunikationspartnern.

Fremde können die Nachrichten kopieren und mitlesen
d.h. Firmengeheimnisse und andere vertrauliche Informationen sind sehr schlecht in einer normalen Mail aufgehoben.
Fremde können die Nachrichten so gar ändern und weitersenden
Der Empfänger merkt davon nichts. Die ganze Bedeutung kann negiert werden.
Fremde können sich als Sie ausgeben
und quasi Nachrichten in ihrem Namen senden. D.h. vertrauen Sie nicht einem Absender, auch wenn der Inhalt stimmig erscheint

Sie glauben das alles nicht ? Nun vielleicht wird es klarer, wenn wir es mit der guten alten gelben Post erklären:

Sie senden eine Postkarte an einen Empfänger. Der Postbote hat gerade Mittagspause und was hindert ihn daran, während der Frühstückspause statt Zeitung etwas anderes zu lesen. Sicher, es ist per Gesetz verboten aber reicht ihnen das ?
Und wenn er nun noch einen Kugelschreiber hat, dann fügt er einfach seine Anmerkungen hinzu. er "verschönert" einfach ihre Schriftstücke.
Was sollte mich daran hindern , eine Postkarte an ihren Freund zu senden und ihren Namen als Absender drauf zu schreiben ? Der Empfänger hat keine Möglichkeit festzustellen, dass der tatsächliche Absender nicht Sie waren. Maximal über den Poststempel kann der Ort des Posteinwurfs zurückverfolgt werden.

Genau so funktioniert E-Mail im Internet. Und das ist eigentlich nicht mehr gut so. Digitale Signaturen, Verschlüsselung, Identifizierung Zugriffskontrollen sind erforderlich und möglich, wenn Sie wissen wie. Dies ist das Thema dieses Bereichs:

Grundlagen

Grundlagen
Eine Einführung
Vertrauen in Mail
Was sie wissen sollten, wenn Sie wichtige Nachrichten per Mail versenden und empfangen
Verschlüsseln und Signieren
Was sind Public und Private Keys ?
Wozu dienen die Zertifikate ?
Schlüssel
RSA und warum damit nicht direkt verschlüsselt wird
SMTP und die Sicherheit
Grundlegende Informationen zur Sicherheit von SMTP und die verschiedenen Sicherungsoptionen von S/MIME auf dem Client oder Gateway, TLS, VPN
SMime oder PGP
Zwei konkurrierende Verfahren.

Zertifikate und CAs

Rolle der CA
Was ist die Aufgabe einer Zertifizierungsstelle ?
Zertifikatarten
Feinheiten von Zertifikaten und warum sie nicht immer auf eine signierte Mails verschlüsselt antworten können.
CRL
Zertifikate zurückziehen
Firmen CA
Bitte zuerst lesen, ehe Sie eine Windows CA mal schnell installieren:
- Private CA
  Vorüberlegungen ehe Sie ihre erste interne CA installieren
- Zertifikatvorlagen
  Blaupausen für die CA
- Windows 2003 CA installieren
  How-To zur Installation und Erstkonfiguration einer CA
- Windows 2008 CA installieren
  Dokumentation einer Windows 2008 CA Installation.
Clientzertifikat anfordern
Mit einem Zertifikat können Sie ihre eigenen Mails digital signieren und verschlüsselt empfangen.
OpenSSL
Sehr nützliches Tool zum Analysieren und Konvertieren von Zertifikaten und Testen von SSL-Verbindungen.

Verschlüsseln und Signieren

Desktop oder Gateway - Ein Vergleich
Verbindungen
Wer kommuniziert mit wem und wie wird verschlüsselt
Spamflter TLS
Erweiterte Filter mit Zertifikaten
Qualifizierte Signatur
Die etwas andere Signatur
Angriffe gegen Crypto-Systeme
CRL-Anfragen, Zertifikatsspeicher, LDAP-Server, interne Spammer, CRL-DoS

Gateway-Lösungen

Diese Seite beleuchtet die Funktion, Vorteile aber auch Probleme von Gateway-Lösungen bei der Verschlüsselung und Signierung von Mails

Signieren und Verschlüsseln auf dem Gateway
- Alternativen
  Ein Gateway kostet erst einmal Geld für die Beschaffung, Installation und Betrieb. Lesen Sie hier eine Betrachtung der Alternativen
- Vorteile
  Und hier die Argumente, warum ein Gateway das beste ist, was ihrer Firma wiederfahren kann, wenn die das für ihre Umgebung passende Gateway haben
- Signiert Empfangen
  Ohne weitere Aktion kann ein Gateway die Signatur von eingehenden Mails prüfen und bei Fehlern warnen.
- Signiert Senden
  Mit einem einzigen Zertifikat auf dem Gateway können alle ausgehenden Mails für alle Versender digital signiert werden.
- Signieren und Verschlüsseln
  Mit der passenden Signatur der Gegenseite können Gateways elegant die Nachrichten ohne Zutun der Anwender verschlüsseln.
- Probleme
  Auch wenn PGP bzw. SMIME einen gewissen Standard darstellen, so knirscht es manchmal schon. Hier ein paar Beispiele.

Umsetzung auf dem Client

Wenn sie Privatperson sind oder die Firma keine zentrale Lösung nutzen, dann können Sie heute schon Mails beim Versand signieren und den Kommunikationspartnern ein Verschlüsseln zu erlauben.

Schlüsseltausch
Wie komme ich an den Key der anderen Seite ?
SMIME mit Outlook
SMIME mit OWA2007
SMIME mit OWA2003
SMIME und Windows Mobile
SMIME und Blackberry

DE-Mail

Neuauflage der BTX "Geschlossene Benutzergruppe" oder mehr ?

DE-Mail Prinzip
DE-Mail etabliert eine Art "Geschlossene Benutzergruppe". Nur eindeutig identifizierte Teilnehmer können miteinander kommunizieren.
DE-Mail Betreiber
Welche Firmen betreiben das System, wenn unser Staat nicht als Betreiber auftritt ?
DE-Mail für Privatanwender
Wie kann ich als einzelne Person DE-MAIL nutzen, damit meine Bank, meine Versicherung oder auch das Finanzamt mit mir sicher kommunizieren kann
DE-Mail für Firmenanbindung
Was bedeutet DE-MAIL für mich als Firma, wenn ich als Firma z.B. die DE-MAIL-Bevölkerung mit signierten und verschlüsselten Nachrichten versorgen will ?
DE-Mail Verschlüsselung
Wie und wo verschlüsselt DE-MAIL
DE-Mail FAQ
Einige Frage und Antworten, wobei einige Fragen noch nicht beantwortet sind.

Lösungen für Firmen

Benutzerzertifikate im AD
Wo liegen sie, wie können Sie exportiert und importiert werden.
Steganografie
Verschlüsselte Elemente sind Ziel für Crackversuche. Verschleiern und Tarnen kann ebenso effizient sein.
Rights Management Server
Ohne Zertifikate aber als effektiver Dokumentschutz gegen Weiterleiten, Ausdrucken etc.

SSL einrichten

SSL-Grundlagen
Eine kurze Einleitung in die Funktionsweise von SSL-Zertifikaten
Comodo 30 Tage SSL
Installation eines offiziellen SSL-Zertifikats mit einem 30 Tage Test Zertifikat üben
Zertifikat bei GoDaddy
So habe ich das Zertifikat für Net at Work beantragt.
StartSSL CA
Öffentliches Zertifikat beim Preisbrecher StartCom anfordern
IIS Zertifikat einrichten
Mit wenigen Schritten erweitern Sie ihren Webserver um die Fähigkeit, verschlüsselte Verbindungen zu akzeptieren
Zertifikat mit IIS7 anfordern
How-To zur Generierung eines CSR mit Windows 2008

Jeder Schutz ist aber auch ein Risiko, da sie auch legitime Zugriffe verhindern kann, z.B. wenn Zugangscodes verloren gehen, ein Virenscanner den Schadcode einer verschlüsselten Anlage nicht mehr erkennen kann oder Elemente im Langzeitarchiv nach Jahren nicht mehr lesbar sind, weil die passende Software nicht mehr vorhanden ist. (Stichwort eine mit "Apple Works" geschriebene Diplomarbeit auf der 3.,5" Floppy mit Apple ProDos) Sie sehen also, dass das Thema durchaus vielschichtig ist.

Weitere Links

RFC 3850 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Certificate Handling
http://www.ietf.org/rfc/rfc3850.txt
"..Receiving agents MUST recognize and accept certificates that contain no email address. .."
Trustworthy Messaging Get Started
http://www.microsoft.com/downloads/details.aspx?familyid=f7a20ed4-3cd9-4d31-8447-754a33712597&displaylang=en
S-Trust Zertifikate
Startseite: http://www.s-trust.de
Qualifiziertes Zertifikat http://www.s-trust.de/kartenbasierte_zertifikate/qualifizierte_zertifikate/index.htm
20 Euro/Jahr. Ausgestellt von der Bundesnetzagentur als RootCA.
Trustcenter "Internet ID" 1 Jahr gültig, Kostenfrei, nicht für gewerblich.
http://www.trustcenter.de/products/tc_internet_id.htm
www.pgpi.com PGP ist der quasi Standard ehe S/Mime verfügbar wurde. Es gibt auch ein Outlook PlugIn
The GNU Privacy Guard
http://www.gnupg.org/de/index.html * http://www.gnupg.de/
http://www.gdata.de/gpg/
ein kostenfreies PlugIn von gdata basierend auf GnuPG
http://www.heise.de/ct/pgpCA Heise bietet eine PGP CA mit vielen Link zu weiteren PGP Seiten
http://www.helmbold.de/pgp Sehr gute deutsche Seite zu PGP
http://www.cryptoex.com/
http://www.cert.org/
http://www.ritlabs.com/tinyweb/
http://www.psy.uq.edu.au/~ftp/Crypto/
http://www.ssleay.org/
http://www.verisign.com/
http://www.thawte.com/
http://www.Microsoft.com/outlook
http://www.cryptoex.com/
Implementing Email Security with Exchange Server 2003
http://www.MSExchange.org/pages/article.asp?id=625
S/MIME mit Mozilla
http://www.mozilla.org/projects/security/pki/psm/smime_guide.html
Ein Angebot für Kartenleser und Zertifikat
http://www.t-systems-telesec.com/trustcenter/tru_08_01_signet.html
129 Euro im T-Punkt Business
http://de.wikipedia.org/wiki/S/MIME
http://de.wikipedia.org/wiki/PGP
CSR dekodieren
https://secure.comodo.net/utilities/decodeCSR.html
Secude Secure Mail - Outlook Addin
http://secude.de/html/fileadmin/old.secude.com/White_Paper_eMail_Verschlusselung.htm

Keywords:

DE-MAIL SMIME Sicherheit