FUNKTIONSUMFANG SecurePIM. Leistungsumfang und Architektur SecurePIM

Transkript

1 FUNKTIONSUMFANG SecurePIM Leistungsumfang und Architektur SecurePIM

2 FUNKTIONSUMFANG SecurePIM Inhalt VERSION I STAND: Funktionsumfang SecurePIM Dashboard Secure S/MIME Mailer Secure Contact Secure Calendar Secure Browser Secure Documents Überblick Systemarchitektur Schutz von Unternehmensdaten Verschlüsselung mit privatem Schlüssel Trennung von geschäftlichen und privaten Daten Authentifizierung des Benutzers Verschlüsselungsverfahren Schnittstellen und sichere Kommunikation Anbindung Microsoft Exchange Integration Exchange Server über Active Sync S/MIME Implementierung Verschlüsselung von s Entschlüsselung von s Unterstützung Smartcard-Leser Höchste Smartcard Sicherheit Karte immer gesteckt Smartcard Sicherheit Karte zum Aufruf der App gesteckt Hohe Sicherheit Verschlüsselung über persönliches Zertifikat im Container Festlegung Security Stufe Integration Public-Key-Infrastructure Zertifikatsmanagement Zertifikatsüberprüfungen Public-Key-Verwaltung Public-Keys-Empfänger Voraussetzungen IT-Infrastruktur Unterstützte mobile Endgeräte Unterstütze Betriebssysteme IT-Infrastruktur Roll-Out und Konfiguration der Applikation Mobile-Application-Management-Portal Registrierung Geräte Zertifikatsimport (Optional) Aktualisierung Daten

3 . FUNKTIONSUMFANG SecurePIM Funktionsumfang SecurePIM SecurePIM ist eine App-Suite für Apple ipad, ipad mini, iphone und ipod touch ab Generation 3GS und erfordert ios Version 6 oder höher. Enthalten sind die vier Applikationen Mail, Kalender, Kontakte und Secure Browser. Ab dem 3. Quartal 203 kommt das Modul Dokumente hinzu. SecurePIM erzeugt einen so genannten Secure Container auf dem Gerät. Alle Daten innerhalb dieses Containers sind stark verschlüsselt. Zur Verschlüsselung wird der private Schlüssel des Benutzers mit einer Schlüssellänge von mindestens 2048 Bit verwendet. Die Anbindung erfolgt verschlüsselt an den Microsoft Exchange Server. SecurePIM ist aktuell in den Sprachen Deutsch und Englisch verfügbar. SecurePIM erfüllt die Anforderungen nach BDSG, indem private von geschäftlichen Daten getrennt gespeichert und verwaltet werden. Basismerkmale SecurePIM: Strikte Trennung von privaten und geschäftlichen Daten in einem Secure Container Bietet alle Personal-Information-Manager-Module: Von Secure Mail (S/MIME) über Kalender, Kontakte bis hin zu Secure Browser Unterstützung von Microsoft Exchange Server 2007 bis 200 über das ActiveSync-Protocol in den Versionen: 2., 4.0, 4., 4.2 Volle Kontrolle über Unternehmensdaten im Secure Container über das mitgelieferte MobileApplication-Management-Portal Echte Lösung für ein Bring-Your-Own-Device -Szenario Firmen, die bereits Smartcards auf Basis des gängigen Standards ISO 786 verwenden, können diese auch für die Authentifizierung und Entschlüsselung auf ipad und iphone nutzen Kann in eine bestehende Public-Key-Infrastructure nahtlos integriert werden Hervorragende Usability angepasst an Apple-Standards 3

4 FUNKTIONSUMFANG SecurePIM. Dashboard Das Dashboard gibt dem Benutzer eine Übersicht über s, Termine und Kontakte. Dashboard Funktionalität: Zeigt die aktuellsten s und Termine auf einer Seite Anzeige der häufig genutzten Kontakte Aktuell anstehende Termine werden dargestellt Personen können mit einem Klick angerufen werden (nur auf iphone) oder es kann direkt eine geschrieben werden, ohne das Dashboard zu verlassen 4

5 FUNKTIONSUMFANG SecurePIM 5

6 FUNKTIONSUMFANG SecurePIM.2 Secure S/MIME Mailer SecurePIM bietet eine sichere -App zur Nutzung von iphone und ipad im Unternehmen, abgenommen und zertifiziert durch die Konzern-Security. Mit allen Funktionen eines leistungsfähigen -Programms und hervorragender Usability, hochsicher und perfekt zugeschnitten auf individuelle Sicherheitsbedürfnisse. 6

7 FUNKTIONSUMFANG SecurePIM Dateianhänge Kontakte Integration -Dateianhänge werden innerhalb der -App geöffnet und verbleiben damit niemals unverschlüsselt auf dem Gerät Integration mit Kontakte-Modul zur effizienten Auswahl der Adressaten Weitere Features: Vollumfänglicher Mailer mit allen Funktionen zu Navigation, Empfang, Versand und Organisation von s auf iphone und ipad s werden im Hintergrund geladen und für den Offline-Zugriff verschlüsselt gespeichert Suche von Mails nach Betreff, Sender, Empfänger und Titel Suche von Mails auf dem Server Integration mit Kontakte-Modul zur effizienten Auswahl der Adressaten Verschlüsselte Speicherung aller s also auch von Mails, die unverschlüsselt empfangenen wurden zum Schutz bei Diebstahl Integration in Exchange 2007 und 200 über das Microsoft-Standardprotokoll ActiveSync Abbildung der gesamten Exchange Ordner-Struktur und Verwaltung der Mails, inklusive Verschieben und Löschen Sichere -Kommunikation durch S/MIME-Verschlüsselung ein Standard, der von allen gängigen -Programmen unterstützt wird Unterstütze Anhang-Dateiformate: doc(x), xls(x), ppt(x), alle gängigen Bildformate, PDF, txt, u.v.m. s können verfasst werden, während Sie offline sind. Diese werden versendet, sobald sie wieder online sind Sie können öffentliche Zertifikate, die Sie per Mail empfangen haben, einfach in die Anwendung importieren 7

8 FUNKTIONSUMFANG SecurePIM.3 Kontakte Schützt geschäftliche Kontakte vor fremdem Zugriff. SecurePIM greift auf Kontakte des firmeninternen Exchange Servers zu und legt diese verschlüsselt auf dem mobilen Gerät ab. Damit besteht jederzeit Zugriff auf Kontakte, auch wenn gerade keine Internet-Verbindung zur Verfügung steht. Einfache und sichere Verwaltung von Kontakten Erstellen und Bearbeiten von Kontakten sowohl online als auch offline Online-Zugriff auf Firmenkontakte im Exchange Server Unterstützung mehrerer Kontaktgruppen Effiziente Suche und Navigation von Kontakten Integration mit Mail und Telefon Möglichkeit, Telefonnummern und Namen von Kontakten in das öffentliche Kontakteverzeichnis zu exportieren (falls durch die IT im Mobile-Application-Management-Portal freigegeben) 8

9 FUNKTIONSUMFANG SecurePIM.4 Kalender Über den Kalender werden Termine einfach und effizient verwaltet, mit höchster Sicherheit. Der Kalender kommuniziert durch eingebaute Schnittstellen mit den anderen Modulen. Einfache und sichere Verwaltung von Terminen Effizientes Anlegen, Bearbeiten und Löschen von Terminen Unterstützung von Terminwiederholungen und Serienterminen Klare Übersicht dank Wochen- und Monatsansicht auf dem ipad sowie Listen- und Monatsansicht auf dem iphone Termine können einfach per Drag-and-Drop verschoben werden Umfangreiche Möglichkeiten zur Navigation inklusive Terminsuche Synchronisation mit Exchange Server Versand von Termineinladungen Die Terminerinnerungen erscheinen auch, wenn Sie SecurePIM im Hintergrund geschlossen haben 9

10 FUNKTIONSUMFANG SecurePIM.5 Secure Browser Mit dem Secure Browser kann ein sicherer Zugriff auf sensible, webbasierte Anwendungen, Webseiten oder Portale erfolgen. Damit kann das Unternehmen entscheiden, welche Seiten Mitarbeiter aus der sicheren Umgebung von SecurePIM nutzen können und welche nicht. So kann beispielsweise der Zugriff auf eine interne CRM-Lösung mit streng vertraulichen Daten aus dem Secure Container erlaubt werden. Diese Informationen sind damit streng vom Rest des Geräts getrennt. Unabhängig davon können Benutzer mit dem Standardbrowser weiterhin wie gewohnt im Internet surfen. Kontrollierter Zugriff auf interne Webseiten, Portale und webbasierte Anwendungen Verwaltung von erlaubten und verbotenen Webseiten Sichere Authentifizierung an webbasierten Anwendungen optional über Zertifikate Verwaltung von Lesezeichen Keine Einschränkung des öffentlichen Browsers 0

11 FUNKTIONSUMFANG SecurePIM.6 Secure Documents Mit Secure Docs können vertrauliche Dokumente auch außerhalb des internen Netzwerks komfortabel und sicher genutzt werden. SecurePIM greift über einen sicheren Kanal auf das firmeninterne Dokumentenmanagementsystem zu und legt die Dateien verschlüsselt auf dem iphone oder ipad ab. Nur der Benutzer kann die gespeicherten Dokumente mit seinem privaten Schlüssel entschlüsseln und öffnen. Online-Zugriff auf Dokumentenmanagementsysteme von überall, Download von Dokumenten und Verzeichnisstrukturen Sichere Anzeige einer Vielzahl von Dokumenttypen innerhalb der App (z. B.: PDF, Word, Excel, Powerpoint, Bilder, s, u.v.m.) Leistungsfähige Navigation, Verwaltung und Darstellung von lokal verschlüsselt abgelegten Dokumenten Einfügen von Lesezeichen, Bemerkungen, Hervorhebungen und Skizzen zur Überarbeitung von PDF-Dokumenten Optimiert für große PDF-Dokumente: Navigation durch die Inhaltsstruktur, Anlage persönlicher Bookmarks, Volltextsuche, u.v.m. Upload von Dokumenten und Verzeichnissen in das Dokumentenmanagementsystem

12 ÜBERBLICK 2. 2 Überblick Systemarchitektur Idee des Secure Container Ansatzes ist eine vollständige Trennung von geschäftlichen und privaten Daten. Alle geschäftlichen Daten werden verschlüsselt abgelegt. Dabei existiert auf dem Gerät eine Verzeichnisstruktur, in der sämtliche Dateien mittels PKCS#7 oder PKCS#2 Standard verschlüsselt abgelegt werden. Darüber hinaus existiert eine Datenbank auf dem System, deren Inhalte verschlüsselt sind. Dokumente und Attachements werden ausschließlich bei Bedarf im Hauptspeicher entschlüsselt und innerhalb der App geöffnet. Eine Übergabe an andere Apps erfolgt nicht, temporäre Dateien werden nicht erzeugt. Andere Apps können nicht auf Inhalte des Secure Containers zugreifen, auch die Keychain von ios wird nur für öffentlich zugängliche Inhalte benutzt (Public Keys). Alle Dateien werden zusätzlich zur S/MIME-Verschlüsselung mittels eines gerätespezifischen symmetrischen AES-Schlüssel verschlüsselt (NS Fileprotection). Ausgenommen von der Verschlüsselung sind frei zugängliche öffentliche Schlüssel (Public Keys und CA-Zertifikate) sowie zwischengespeicherte Certificate Revocation Lists (CRLs). Die App kann nur von zentraler Stelle über das Mobile-Application-Management-Portal (MAM-Portal) konfiguriert und angepasst werden. Der Benutzer kann an den relevanten Einstellungen keine unbefugten Änderungen vornehmen. Das Unternehmen erhält damit volle Kontrolle über den Secure Container und kann diesen zentral verwalten. Ein Zugriff auf persönliche Daten des Benutzers durch die interne IT über das Mobile-Application-Management ist ausgeschlossen. SMIME Mailer Dokumentenzugriff Webbrowser Anmeldung der Mitarbeiterkontakte Kalender Kontakte User Certificate on Smartcard IT-Admin 2

13 3. SCHUTZ VON UNTERNEHMENSDATEN 3 Schutz von Unternehmensdaten 3. Verschlüsselung mit privatem Schlüssel Zentrales Merkmal zur Verschlüsselung ist der private Schlüssel des Benutzers, der Basis für die Verschlüsselung aller Daten ist. Sämtliche Daten, Dokumente und Schlüssel, die sicherheitsrelevanten Charakter haben, werden ausschließlich verschlüsselt auf dem Dateisystem des mobilen Endgeräts abgelegt. Dabei erfolgt die Verschlüsselung anhand der Standards PKCS#7 oder PKCS#2, wobei grundsätzlich Schlüssel mit einer Mindestlänge von 2048 Bit verwendet werden. Unverschlüsselte Datenbestände finden sich nur im Hauptspeicher. Diese unverschlüsselten Daten werden beim Taskwechsel und beim Wechsel in den Schlaf-Modus bzw. nach dem erneuten Erwachen des Systems gelöscht. Im Hauptspeicher gehaltene PINs bzw. Passwörter werden überschrieben. Alle Dateien werden zusätzlich mittels eines gerätespezifischen symmetrischen AES-Schlüssel verschlüsselt (NS Fileprotection). Die interne Datenbank wird mit einem verschlüsselt abgelegten Session Key verschlüsselt, der wiederum nur mit dem privaten Schlüssel des Benutzers entschlüsselt werden kann. Ausgenommen von der Verschlüsselung sind nur frei zugängliche öffentliche Schlüssel (Public Keys und CA-Zertifikate) sowie zwischengespeicherte Certificate Revocation Lists (CRLs). 3.2 Trennung von geschäftlichen und privaten Daten SecurePIM trennt die geschäftliche Nutzung strikt von der privaten Nutzung. Eingriffe am Gerät sind dazu nicht erforderlich, d.h. die Lösung kann grundsätzlich ohne Mobile-Device-ManagementLösung genutzt werden, auch wenn der Einsatz einer MDM-Lösung aus unserer Sicht je nach Einsatzszenario wichtig und sinnvoll ist. Alle unternehmensrelevanten Informationen und Einstellungen liegen innerhalb des Secure Containers und sind damit vollständig vom Rest des Geräts getrennt. , Dokumente und Attachements werden ausschließlich bei Bedarf im Hauptspeicher entschlüsselt und innerhalb der App geöffnet, eine Übergabe an andere Apps erfolgt nicht. Der Container wird durch die Unternehmens-IT verwaltet, der Benutzer kann an relevanten Einstellungen keine unbefugten Änderungen vornehmen. Optional können bestimmte Informationen zu Kontakten in das Kontaktverzeichnis des ios-geräts synchronisiert werden, um etwa eine Anrufererkennung zu ermöglichen (sofern durch die interne IT im Mobile-Application-Management-Portal freigegeben). 3

14 SCHUTZ VON UNTERNEHMENSDATEN Authentifizierung des Benutzers Die Authentifizierung kann mittels Passwort oder Smartcard erfolgen, wobei der private RSA Schlüssel des Benutzers das entscheidende Merkmal des Zugriffs auf Informationen im Secure Container ist. Die Eingabe dieses Passwortes wird zu keiner Zeit zwischengespeichert. Für das Passwort kann seitens der internen IT eine Passwort-Policy festgelegt werden. Wechselt der Benutzer in eine andere App, ist eine erneute Eingabe des Passworts erforderlich, alternativ kann seitens der IT ein Time-Out festgelegt werden, nach dem eine erneute Anmeldung zum Aufruf der App erforderlich ist. Darüber hinaus können kundenspezifische Verfahren zur Authentifizierung wie mobile PIN oder eine online Authentifizierung über einen zentralen Single Sign On Service integriert werden. 3.4 Verschlüsselungsverfahren SecurePIM kann mit allen im S/MIME Standard definierten Algorithmen arbeiten. Die Algorithmen werden dabei vom sendenden System definiert. Alle sonstigen Verschlüsselungsverfahren sind mittels hybrider Verschlüsselung realisiert. Dabei werden die Daten selbst unter Verwendung eines zufällig erzeugten, dateispezifischen Basisschlüssels mittels AES-256 verschlüsselt. Dieser Basisschlüssel wird anschließend mit dem öffentlichen Schlüssel des jeweiligen Benutzers verschlüsselt. Eine Wiederherstellung des dateispezifischen Basisschlüssels und der davon abhängigen Entschlüsselung der Inhalte ist somit ausschließlich unter Verwendung der benutzerspezifischen geheimen Schlüsselkomponente des Benutzerzertifikats möglich. Zur Sicherung der geheimen Schlüsselkomponente dient entweder eine PKCS#2 Container Datei. Die Applikation prüft und ändert ggf. die Algorithmen und das Passwort nach den definierten Sicherheitsrichtlinien (Password Policy, Mindestqualität des Algorithmus 3DES ) oder eine Smartcard. Dabei befinden sich auf dem ipad/iphone keine geheimen Schlüsselkomponenten. Der Basisschlüssel wird dabei an die Smartcard zur Entschlüsselung übertragen. Dabei ist ein Passwort für den Zugriff vom Benutzer einzugeben. Siehe dazu auch Kapitel 5. 4

15 SCHUTZ VON UNTERNEHMENSDATEN Schnittstellen und sichere Kommunikation Generell werden sämtliche Datenstrecken mittels Transport Layer Security End to End verschlüsselt. Transport Layer Security (TLS), weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer (SSL), ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Seit Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS weiterentwickelt und standardisiert, wobei Version.0 von TLS der Version 3. von SSL entspricht. SecurePIM kommuniziert dabei über maximal vier Kanäle:. Mit dem Exchange Server über das ActiveSync Protokoll (Verschlüsselung über Transport Layer Security des ActiveSync Protokolls, TLS SSLv3) 2. Mit dem Mobile-Application-Management-Portal über eine Webservice Schnittstelle (Verschlüsselung über Transport Layer Security, TLS SSLv3) 3. Optional: VPN-Zugang zum Zugriff auf Dokumentenmanagementsystem und Intranetanwendungen (Verschlüsselung über Transport Layer Security, TLS SSLv3, abgesichert durch Maschinenzertifikat) 4. Optional: Zugriff auf Public-Key-Infrastruktur für öffentliche Schlüssel und Certificate Revocation Lists (abhängig von der Konfiguration der PKI) 5

16 ANBINDUNG MICROSOFT EXCHANGE 4. 4 Anbindung Microsoft Exchange s, Kontakte und Kalendereinträge werden mittels ActiveSync mit dem Exchange Server synchronisiert. 4. Integration Exchange Server über ActiveSync Die Integration in den Exchange Server erfolgt über den Microsoft Standard ActiveSync in den Protokollversionen 2. oder 4. Damit können Exchange Server 2007 und Exchange Server 200 angebunden werden. Dabei kommt die Transport Layer Security des ActiveSync Protokolls zum Einsatz, d.h. die gesamte Kommunikation ist in Abhängigkeit von Vorgaben der Corporate IT verschlüsselt. Wir raten zum Mindeststandard TLS SSLv3. Exchange ActiveSync (EAS) kommuniziert über den WBXML-Standard. Damit werden s, Kontakte, Kalendereinträge, Aufgaben und Notizen von einem NachrichtenServer mit dem mobilen Endgerät synchronisiert. Wir nutzen keine Libraries von Drittanbietern, da diese potentiell Sicherheitslücken enthalten könnten. Optional kann der Secure ActiveSync Gateway unserer Partnerfirma Pointsharp integriert werden. Dieser bietet zusätzlich einen Backend-seitigen Schutz des Exchange Servers mit zusätzlichen Verfahren zur Authentifizierung. Außerdem kann damit festgelegt werden, dass auf den Exchange Server nur mit SecurePIM zugegriffen werden kann und ein Zugriff über andere Apps nicht möglich ist. Daneben können aber auch eine Reihe weiterer Produkte zur Backend-seitigen Absicherung des Exchange Servers eingebunden werden. 4.2 S/MIME Implementierung s können optional verschlüsselt versendet werden. Dazu wird der Secure/Multipurpose Internet Mail Extensions (S/MIME) Standard genutzt: Dieser ermöglicht die Verschlüsselung MIMEgekapselter durch ein hybrides Kryptosystem. Die Implementierung basiert auf dem S/MIME Standard 3., der im RFC385 definiert ist. Die Version 3. ist für die implementierten Teilbereiche zur Version 3.0 abwärtskompatibel. Der S/MIME Standard wird in diesem Produkt nicht vollständig implementiert. Folgende Teile aus den RFCs sind nötig und wurden implementiert: RFC Enveloped Data Content Type RFC SMIME Capabilities Attribute RFC Encryption Key Preference Attribute RFC ContentEncryptionAlgorithmIdentifier Die schwache Verschlüsselung RC2/40 wird nicht zum Versenden genutzt. Als symmetrischer Verschlüsselungsalgorithmus wird AES256 oder DES EDE3 CBC (aus Kompatibilitätsgründen) benutzt 6

17 ANBINDUNG MICROSOFT EXCHANGE 4 RFC Transfer Encoding Als Transfer-Encoding, wird base64 verwendet RFC The application/pkcs#7-mime Type Nur das.p7m Format wurde implementiert RFC Key Pair Generation RFC Security Considerations siehe Seite 6, RFC ContentEncryptionAlgorithmIdentifier RFC Enveloped Data Type Als symmetrischer Verschlüsselungsalgorithmus wird AES, bzw. DES-EDE3-CBC benutzt RFC Enveloped Data Content Type Unterstützter Key Management Algorithmus ist key transport Unterstützter Key Encryption Algorithmus ist rsaencryption 4.3 Verschlüsselung von s Die für die Verschlüsselungsalgorithmen (DES-EDE3-CBC) notwendigen Parameter werden jeweils mit einem Zufallsgenerator hoher Entropie generiert. Der Inhalt wird mittels DES bis zu 64 bit angereichert und anschließend mit DES-EDE3-CBC verschlüsselt. Für jeden Empfänger wird eine Empfängerinfo-Struktur erstellt und dabei die Werte aus den entsprechenden Public Keys der Empfänger eingetragen. Die DES Verschlüsselungskeys und Initialisierungsvektoren werden angereichert, mit den entsprechenden Public Keys verschlüsselt und zu den Empfängerinfos hinzugefügt. 4.4 Entschlüsselung von s Die Applikation empfängt eine p7m Container-Datei (siehe oben, RFC385, Kapitel 3.2). Die Datei wird mittels base64 extrahiert. Falls ein anderer MIME-Type oder ein anderes Content-TransferEncoding verwendet wurde, wird ein Fehler auftreten. Ein eventuell verfügbarer Dateiname wird nicht benutzt. Die extrahierten Binärdaten bestehen aus einem PKCS#7 Container. Die Inhalte sind in RFC5652 (siehe oben, Kapitel 6.) definiert. Die Applikation sucht in recipientinfos (Empfängerinfo) danach, ob einer der Empfänger mit den abgelegten Zertifikaten und dem entsprechenden Private Key übereinstimmt. Die Übereinstimmungskriterien werden unter RFC Issuer (Unterzeichnung-CA, siehe oben) und die Seriennummer für das spezifische Zertifikat definiert. Falls keine Übereinstimmung erfolgt, wird ein Fehler angezeigt. Der verschlüsselte Key-Wert wird mit dem entsprechenden Private Key entschlüsselt. 7

18 UNTERSTÜTZUNG SMARTCARD-LESER 5. 5 Unterstützung Smartcard-Leser Für höchste Sicherheitsanforderungen werden alle asymmetrischen Kryptooperationen auf der Smartcard des Unternehmens oder einer von uns bereitgestellten Smartcard durchgeführt. Der private Schlüssel verlässt dabei niemals die Karte. Wir unterstützen dabei grundsätzlich ISO 786 Karten, getestet wurden ATOS CardOS 4.2 und höher sowie global Platform (JCOP) Karten. Die Anbindung weiterer Kartentypen ist auf Anfrage möglich. Unterstützt werden derzeit drei Smartcard-Reader. Auf Wunsch können firmeninterne Middlewares eingebunden werden. In dieser Variante ist ein Zugriff auf sensible Daten ohne Smartcard mit zugehöriger PIN nach derzeitigem Stand der Technik nicht möglich. In Unternehmen bestehen typischerweise unterschiedliche Anforderungen bezüglich Sicherheit für die jeweiligen Nutzergruppen. Vor diesem Hintergrund wurden drei Sicherheitsstufen für Authentifizierung und Entschlüsselung implementiert. 5. Höchste Smartcard Sicherheit Karte immer gesteckt Der Benutzer muss die Smartcard beim Start der Anwendung in den Smartcard-Reader stecken. Erst nachdem die Smartcard per zugehöriger PIN für Kryptooperationen freigeschaltet wurde, kann die App verwendet werden. Je nach Konfiguration der Karte wird diese nach einer vorgegebenen Anzahl von Fehleingaben der PIN gesperrt. Wird die Karte entfernt, kann mit der App nicht mehr gearbeitet werden. Die Entschlüsselung jeder einzelnen erfolgt hierbei über die Karte, d.h. diese muss permanent gesteckt sein. Verlässt der Benutzer die App oder wechselt er zu einer anderen App, muss er die PIN erneut eingeben. 8

19 UNTERSTÜTZUNG SMARTCARD-LESER

20 UNTERSTÜTZUNG SMARTCARD-LESER Smartcard Sicherheit Karte zum Aufruf der App gesteckt Bei dieser Variante muss der Benutzer die Smartcard nur beim Start der Anwendung in den Smartcard-Reader stecken. Nachdem dieser die Smartcard per zugehöriger PIN für Kryptooperationen freigeschaltet hat, wird der im Container abgelegte private Schlüssel des Benutzers geöffnet. Dies erfolgt durch asymmetrische Entschlüsselung auf der Smartcard in den Hauptspeicher des Geräts. Auch hier wird die Karte in Abhängigkeit von deren Konfiguration nach einer wiederholten Anzahl von falschen PINs gesperrt. Sämtliche asymmetrischen Kryptooperationen laufen jetzt über den im Hauptspeicher befindlichen privaten Schlüssel des Benutzers. Damit kann die Karte entfernt und ohne diese weiter gearbeitet werden. Verlässt der Benutzer die App oder wechselt er zu einer anderen App, wird der Schlüssel aus dem Hauptspeicher entfernt. Beim erneuten Aufruf der App muss die Karte gesteckt und die PIN wieder eingegeben werden. 5.3 Hohe Sicherheit Verschlüsselung über persönliches Zertifikat im Container Für Benutzer mit einer geringeren Sicherheitsstufe ist keine Smartcard erforderlich. Der konfigurierte private Schlüssel des Benutzers wird für sämtliche asymmetrischen Kryptooperation verwendet. Dieser wird auf dem Gerät im PKCS#2-Format verschlüsselt gespeichert und nach Eingabe der PIN aufgesperrt (siehe 3.4 Verschlüsselungsverfahren). Zur Verschlüsselung des PKCS#2 Containers wird ein starker Algorithmus zur Verschlüsselung genutzt, der in Verbindung mit der festgelegten Passwort Policy für eine hohe Sicherheit sorgt. Sämtliche asymmetrischen Kryptooperationen erfolgen jetzt über den im Hauptspeicher befindlichen privaten Schlüssel des Benutzers. Verlässt der Benutzer die App oder wechselt er zu einer anderen App, wird der Schlüssel aus dem Hauptspeicher entfernt. Beim erneuten Aufruf der App muss die PIN wieder eingeben werden. Die Passwort Policy für das Passwort kann seitens des Unternehmens vorgegeben werden. Ebenfalls kann definiert werden, dass der Schlüssel nach einer definierten Anzahl von Fehleingaben automatisch gelöscht wird, das erfolgt unabhängig von einer Netzwerkverbindung. 20

21 UNTERSTÜTZUNG SMARTCARD-LESER Festlegung Security Stufe Die beschriebenen Verfahren können für unterschiedliche Nutzergruppen festgelegt werden. Darüber hinaus sind weitere kundenspezifische Methoden möglich. So könnte beispielsweise ein Corporate Entitlement Service für eine online Authentifizierung genutzt werden. In der Standardkonfiguration ist ein Wechsel von der Variante Hohe Sicherheit in die Smartcard Sicherheitsstufe und zurück möglich. So kann etwa für Auslandsreisen temporär die SmartcardIntegration aktiviert werden. Soweit vorhanden, wird der private Schlüssel im Hauptspeicher bei folgenden Ereignissen gelöscht: ein Timeout ist eingetreten die Applikation wird beendet ein Taskwechsel findet statt das Gerät wird in den Ruhezustand versetzt 2

22 INTEGRATION PUBLIC KEY 6. 6 Integration Public-KeyInfrastructure Unternehmen können ihre bestehende Public-Key-Infrastructure (PKI) nutzen. Damit lassen sich folgende Funktionalitäten der bestehenden Infrastruktur verwenden: Bereitstellung des persönlichen Zertifikats des Benutzers, dem Basismerkmal für alle sicherheitsrelevanten Operationen Zugriff auf Certificate Revocation Lists, um die Gültigkeit von Zertifikaten zu überprüfen und den Zugriff auf unternehmensrelevante Daten mit dem zentralen Hauptschalter Zertifikat zurückziehen zu deaktivieren Bereitstellung öffentlicher Schlüssel von -Empfängern und zur benutzerspezifischen Verschlüsselung von Dokumenten, bevor diese an SecurePIM übertragen werden Optional liefert das Mobile-Application-Management-Portal Basisfunktionalitäten einer PKI für Unternehmen, die über keine eigene PKI verfügen (z.b. Bereitstellung öffentlicher Schlüssel) 6. Zertifikatsmanagement Über Fingerprint-Checks können auch interne Wurzelzertifikate des Unternehmens als vertrauenswürdig eingestuft werden. Für die Varianten Basis Sicherheit und Hohe Sicherheit können die Benutzerzertifikate über die folgenden beiden Wege in die App integriert werden:. Das verschlüsselte Benutzerzertifikat wird als PKCS#2 Container (.p2-file) mittels itunes in die App kopiert. 2. Der Benutzer verschickt das verschlüsselte Benutzerzertifikat von seinem bereits eingerichteten Account an das zentrale Mobile-Application-Management-Portal. Dieses stellt das Zertifikat beim Installieren der App zur Verfügung, nachdem geprüft wurde, ob das Zertifikat zur Absenderadresse passt. Die Applikation erkennt ein neu eingestelltes Benutzerzertifikat und führt dann folgende Aktionen aus: Löschen eines evtl. bereits vorhandenen Zertifikats Eingabe der von der PKI vergebenen Transport PIN für den PKCS#2 Container durch den Benutzer Entschlüsseln des PKCS#2 Containers im Hauptspeicher Abfragen eines neues Applikationspassworts mit Zweifacheingabe zur Überprüfung nach Vorgaben der Corporate Password Policy Erzeugen einer neuen PKCS#2 Datei mit den im Hauptspeicher zwischengespeicherten Informationen, gesichert mit dem neuen Applikationspasswort 22

23 INTEGRATION PUBLIC KEY 6 Ablage des erstellen Containerfiles in einem für itunes nicht sichtbaren Bereich im Dokumentenverzeichnis der Applikation Löschen der importierten PKCS#2 Datei 6.2 Zertifikatsüberprüfungen Bei jeder Benutzung von Zertifikaten werden diese überprüft. Dies gilt sowohl für den Import eines neuen Zertifikats als auch für die Verwendung des eigenen Zertifikats bzw. für die Verschlüsselung an Empfänger. Dabei werden die folgenden Überprüfungen der Zertifikate nach RFC 5280 (Internet X.509 Public-Key-Infrastructure and Certificate Revocation List Profile) durchgeführt: Die aktuelle Systemzeit muss sich innerhalb des Gültigkeitszeitraum des Zertifikates befinden Es muss eine gültige Zertifikatskette vorliegen, d.h. mindestens das Wurzelzertifikat muss mittels Fingerprint oder von einer offiziellen Certificate Authority (CA) als vertrauenswürdig eingestuft werden Alle unterzeichnenden CA Zertifikate müssen abrufbar und gültig sein (dabei wird entsprechend der Gültigkeit der Zertifikate zwischengespeichert) Die Certificate Revocation Listen (CRLs) werden überprüft und in Abhängigkeit von deren Konfiguration automatisch aktualisiert Wenn keine Certificate Revocation List (CRL) Liste verfügbar ist, obwohl eine Aktualisierung entsprechend der Policy erfolgen müsste, wird eine Meldung angezeigt. Ein Login ist in diesem Fall nicht möglich Handelt es sich um ein Problem bei der Überprüfung eines Empfängerzertifikats, wird eine entsprechende Warnung angezeigt. Der Benutzer entscheidet in diesem Fall über einen Dialog, ob er das Zertifikat akzeptiert oder nicht Die CRLs werden entsprechend ihrer eigenen Anforderungen nach einer definierten Zeitspanne neu geladen. 23

24 INTEGRATION PUBLIC KEY Public-Key-Verwaltung Public-Key-Infrastructure (PKI) bietet die Möglichkeit zum Vertrauensaufbau durch die Anbindung von Public Keys und Identitäten. Dadurch wird versichert, dass die Applikation nur mit sicheren Empfängern kommuniziert. Durch Verwendung von Public-Key-Kryptografie wird sichergestellt, dass nur die verschlüsselten Daten mit dem entsprechenden Private Key entschlüsselt werden können. Was die verschlüsselte Nachricht betrifft, so wird der Nachrichteninhalt durch Verwendung einer symmetrischen Ziffer verschlüsselt, und der Key für die symmetrische Ziffer wird durch den Public Key des Empfängers verschlüsselt. Falls es um mehrere Empfänger geht, wird derselbe symmetrische Key benutzt, nur bei der Verschlüsselung des Keys wird der Public Key des jeweiligen Empfänger benutzt: Für eine sichere Inhaltserstellung von s prüft die Applikation die Verfügbarkeit von Empfänger-Public Keys (An:/CC: Liste der -Adressen) im lokalen Speicher des Geräts Nach der Gültigkeitsprüfung von verfügbaren lokalen Public Keys werden alle fehlenden oder ungültigen Public Keys (nach der -Adressliste der Empfänger) von der Applikation aus dem Directory Broker (LDAP) oder dem Mobile-Application-Management-Portal nachgeladen Es erfolgt eine Validierung aller neu geladenen Public Keys und Speicherung von allen gültigen Public Keys auf dem lokalen Speicher des iphones oder ipads Bei Unternehmen, die über keine PKI verfügen, stellt das Mobile-Application-Management-Portal die erforderlichen Basisfunktionalitäten einer PKI zur Verfügung. In diesem Fall kann das Mobile-Application-Management für die Verwaltung der Schlüssel genutzt werden. 6.4 Public-Keys-Empfänger Zum Versenden von S/MIM s wird der öffentliche Schlüssel des oder der Empfänger benötigt. Diese können von folgenden Quellen bezogen werden: Automatische Abfrage im firmeneigenen Verzeichnisdienst, zugreifbar über LDAP. Dabei ist die -Adresse Suchkriterium für den Schlüssel des Empfängers Übernahme des Public Keys des Absenders aus der S/MIME-Signatur einer Mail (derzeit in Implementierung) Massenimport von öffentlichen Zertifikaten durch den Benutzer mittels itunes (derzeit in Implementierung) Für Kunden, die über keine PKI-Struktur verfügen, kann über das Mobile-ApplicationManagement-Portal ein Verzeichnisdienst bereitgestellt werden 24