GLOBALSIGN WHITEPAPER. S/MIME-Zertifikate. Sichere -Signatur und -Verschlüsselung mit bewährten Methoden GLOBALSIGN WHITEPAPER

Transkript

1 GLOBALSIGN WHITEPAPER S/MIME-Zertifikate Sichere -Signatur und -Verschlüsselung mit bewährten Methoden GLOBALSIGN WHITEPAPER

2 INHALTSVERZEICHNIS EINLEITUNG... 3 DAS RISIKO UNSICHERER -KOMMUNIKATION... 3 DAS S/MIME-PROTOKOLL... 3 WARUM DIGITALE ZERTIFIKATE?... 3 URSPRUNGSNACHWEIS UND IDENTITÄTSKONTROLLE... 3 INTEGRITÄT... 3 VERTRAULICHKEIT... 4 TRANSPARENZ FÜR DEN ENDNUTZER... 4 ALTERNATIVEN ZU S/MIME... 4 BEST PRACTICES... STARKE ALGORITHMEN... 5 FAZIT... 5 WIE KANN GLOBALSIGN SIE UNTERSTÜTZEN?... 5 WARUM GLOBALSIGN?... 5 INFORMIEREN SIE SICH ÜBER UNSERE LÖSUNGEN ZUR -SICHERHEIT... 6 ÜBER GLOBALSIGN

3 EINLEITUNG In Zeiten wachsender Sicherheitsbedrohungen will kein Unternehmen, unabhängig von seiner Größe, die Integrität oder Vertraulichkeit seiner Daten riskieren. Täglich werden sensible Daten ungeschützt über Relay-Netzwerke und Transitdienste von Drittanbietern gesendet. Durch Cloud-Dienste und Remote- Datenspeicherung ist ein neues Spektrum an Cyberbedrohungen hinzugekommen. Um potenzielle Sicherheitsrisiken wie das Abgreifen und Modifizieren von Daten zu verhindern, stehen verschiedene Optionen zur Verfügung. Eine umfassende Methode, die sich vergleichsweise leicht einsetzen lässt ist S/MIME auf der Basis von digitalen X.509 Zertifikaten. S/MIME ist der Goldstandard bei der - Verschlüsselung, schützt vor Angriffen, gewährleistet Datenintegrität, Vertraulichkeit und Identitätskontrolle. Dieses Whitepaper beschreibt, warum es so wichtig ist s zu signieren und verschlüsseln, auf der Basis von digitalen Zertifikaten zu kommunizieren, was S/MIME von alternativen Methoden unterscheidet, worin die Vorteile liegen und welche Best Practices zur Implementierung es gibt. DAS RISIKO UNSICHERER -KOMMUNIKATION Vor dem Hintergrund der jüngsten hochkarätigen Angriffe gegen Betreiber von -Diensten ist klar geworden: der Wert verschlüsselter - Kommunikation ist unterschätzt worden. So ganz sicher kann längst niemand mehr sein. Ob als Privatanwender oder Business-User im Unternehmen: Die -Kommunikation über das Internet ist Gefahren ausgesetzt, die sich der Kontrolle des Anwenders weitgehend entziehen. Es gibt unzählige Beispiele für Hackerattacken die ganze Datenbanken mit hochsensiblen Benutzerdaten offengelegt haben. -Verschlüsselung beseitigt dieses Problem relativ leicht, indem sie einen bestimmten privaten Schlüssel erfordert, um eine Nachricht entschlüsseln und lesen zu können. DAS S/MIME-PROTOKOLL S/MIME oder Secure/Multipurpose Internet Mail Extensions ist der Industriestandard für die Verschlüsselung mit öffentlichen Schlüsseln bei MIME-basierten Daten. S/MIME bietet Nachrichtenintegrität und Datenschutz über Datenverschlüsselung. Gleichzeitig weist S/MIME nach, woher die Nachricht stammt und gewährleistet die Identitätskontrolle durch zusätzliche digitale Signaturen. S/MIME ist ein Standard der Internet Engineering Task Force (IETF) und inzwischen durch weitere Requests For Comments (RFCs) wie 3851, 3850, 3370 und 3369 definiert. S/MIME arbeitet mit einem Datenumschlag, der den Datensatz umgibt und beim Verschlüsseln in einen PKCS7-MIME-Datensatz eingesetzt wird. Einfacher ausgedrückt: das S/MIME- Protokoll wird durch digitale Zertifikate nutzbar gemacht. WARUM DIGITALE ZERTIFIKATE? Digitale Zertifikate bei der - Kommunikation sorgen dafür, dass die Daten verschlüsselt übermittelt werden und damit vertraulich bleiben. Die digitale Signatur dient als Nachweis für den Ursprung und die Integrität der übermittelten Nachricht. URSPRUNGSNACHWEIS UND IDENTITÄTSKONTROLLE Die digitalen Zertifikate sind kleine Datendateien, die einen kryptografischen Schlüssel digital an die Identität eines Benutzers binden. Verwendet man sie um seine elektronische Kommunikation digital zu signieren, sorgen sie dafür, dass der Empfänger sicher ist, wo die herkommt. Das ist ein ganz entscheidender Schritt, um Phishing- Angriffe zu vermeiden. INTEGRITÄT Digitale Signaturen schützen die Integrität des -Inhalts mittels Hash- Algorithmen. Dabei werden die Daten in einem unidirektionalen Vorgang komprimiert und sozusagen verschleiert. Eine Datei zu hashen heißt, die Daten einer kurzen Referenz (d.h. eine Zeichenkette) des ursprünglichen Inputs zuzuordnen, die dann als Teil der digitalen Signatur verwendet wird. Solange sich die 3

4 ursprünglichen Daten nicht ändern, ergibt die Datei den gleichen alphanumerischen Hashwert, und der Empfänger kann verifizieren, ob die Datei während der Übertragung modifiziert worden ist, oder nicht. VERTRAULICHKEIT Eine verschlüsselte Nachricht wirkt aktiv gegen Verletzungen der Vertraulichkeit. Denn der Inhalt der Nachricht wird durch den Einsatz von verschlüsseltem Text verborgen. In der Public Key Infrastruktur (PKI) eines Unternehmens wird eine Nachricht mit dem öffentlichen Schlüssel des eigentlichen Empfängers verschlüsselt. Nur der Inhaber des entsprechenden privaten Schlüssels (d.h. der Empfänger) kann den verschlüsselten Text entschlüsseln und den Inhalt lesen. Unbefugte Nutzer haben keinen Zugang zu diesen Informationen. TRANSPARENZ FÜR DEN ENDNUTZER Wenn digitale Zertifikate einer vertrauenswürdigen Zertifizierungsstelle (CA) zur -Signatur/-Verschlüsselung verwendet werden ist der gesamte Prozess in der Regel einfach und transparent für den Endnutzer. Er braucht dazu keine speziellen PKI-Kenntnisse. Ist das Zertifikat installiert, signiert oder verschlüsselt der Benutzer seine mit einem Klick auf eine Schaltfläche. Die Option kann standardisiert werden, sodass der Benutzer seine s immer mit seinem digitalen Zertifikat signiert, ohne dass weitere Benutzereingaben nötig sind. Eine signierte und verschlüsselte Verifizierung des Ursprungs einer ALTERNATIVEN ZU S/MIME PGP, und das in der am häufigsten verwendeten Variante OpenPGP, ist quasi der Erzrivale von S/MIME. PGP unterscheidet sich von S/MIME dadurch, dass es keine X.509-Zertifikate für die Verteilung der öffentlichen Schlüssel verwendet, sondern ein Schlüsselpaar, das durch ein PGP-Plugin oder eine Software generiert und auf einem PGP- 'Schlüsselbund' gespeichert wird. Der größte Nachteil dieser Methode: das PGP-Schlüsselpaar wird nicht extern beispielsweise durch eine CA verifiziert. Die Schlüssel verwenden bei der Schlüsselverteilung nicht die 'Web of Trust' Methode, sondern sie müssen mit anderen Benutzern manuell ausgetauscht werden. Dies erhöht die Risiko, dass ein Schlüssel kompromittiert ist. PGP erfordert zudem zusätzliche Plug-ins oder Software für einen -Client. Das verteuert die Methode, wenn sie im Unternehmen ausgerollt werden soll. BEST PRACTICE Signieren einer in Microsoft Outlook Empfänger können die Integrität oder Herkunft einer -Signatur auch über einfache Symbole bestätigen. Will man digitale Zertifikate einsetzen, sollte man ein paar grundsätzliche Regeln befolgen, die sich in der Praxis bewährt haben. Digitale Zertifikate und Methoden zur Verschlüsselung mit öffentlichen Schlüsseln sowie deren Best Practices haben es mit ausgeklügelten Methoden 4

5 ihrer Umgehung zu tun. Sie müssen kontinuierlich aktualisiert werden sowie Verschlüsselungs-sammlungen und - algorithmen entsprechend komplexer werden. STARKE ALGORITHMEN Hash- und Verschlüsselungsalgorithmen machen in jüngster Zeit schnellere Fortschritte denn je. Sie lassen ältere Verschlüsselungsalgorithmen wie Triple DES (3DES) und Hash-Algorithmen wie Message Digest (MD5) hinter sich und sind durch AES 256 Bit für symmetrische Datenverschlüsselung (RSA für asymmetrische) und Secure Hashing- Algorithmus 1 (SHA1) ersetzt worden. Letzter befindet sich gerade in der Übergangsphase zu SHA2, SHA3 befindet sich bereits auf dem Wege zur Ratifizierung. Bei der Auswahl eines Signaturalgorithmus empfiehlt es sich, auf Kompatibilität und Stärke des Hash- Algorithmus zu achten und sie mit den neuesten Richtlinien der betreffenden CA zu kombinieren. Verwendet man ein digitales Zertifikat und einen öffentlichen Schlüssel, empfiehlt sich ein Back-up von Zertifikat und privatem Schlüssel. Windows-Nutzer können ein Back-up in Form einer passwortgeschützten PKCS#12 (.pfx) - Datei erstellen. Auf diese Funktion kann über den Microsoft Zertifikatspeicher über Internet Explorer oder die MMC-Konsole zugegriffen werden. Sie sollten außerdem sicherstellen, dass der private Schlüssel exportierbar ist. Sobald eine Sicherungskopie des Zertifikats erstellt ist, sollte sie auf einem Wechseldatenträger Ihrer Wahl abgelegt und an einem sicheren Ort aufbewahrt werden. FAZIT IT-Abteilungen sehen sich mit vielfältigen Herausforderungen konfrontiert, wenn sie Unternehmens- und Kundendaten schützen und gleichzeitig compliant sein wollen. Mehr und mehr Daten werden elektronisch übertragen und in die Cloud bewegt. Das macht die Sicherheit vertraulicher Informationen zu einem vorrangigen Ziel. s mit digitalen Signaturen zu versehen, erhöht die Vertraulichkeit von Daten und in der Kommunikation aller Beteiligten, Verschlüsselung sorgt für den notwendigen Schutz gegen aktuelle Bedrohungen. Digitale S/MIME-Zertifikate sind einfach zu implementieren und ein wertvoller Bestandteil einer umfassenden IT-Sicherheitsstrategie. WIE KANN GLOBALSIGN SIE UNTERSTÜTZEN GlobalSign, ein führendes Unternehmen für Lösungen in der Informationssicherheit, bietet Unternehmen entsprechende Tools und Services. Mit der webbasierten Management-Plattform, Enterprise PKI (epki), ermöglicht GlobalSign es, den Lebenszyklus von digitalen Zertifikaten in der gesamten Organisation einfach zu verwalten. WARUM GLOBALSIGN? Innovationen und Vertrauen: Über 20 Millionen Zertifikate weltweit verlassen sich auf das GlobalSign Root Zertifikat. Das Unternehmen betreibt bereits seit 1996 eine vertrauenswürdige PKI und ist seit über 10 Jahren WebTrust-konform Kundenservice: Wenn Sie bei GlobalSign anrufen, sprechen Sie persönlich mit einem Support-Mitarbeiter am anderen Ende. Weltweit vertreten: Supportniederlassungen, die technische Unterstützung bieten, sind auf der ganzen Welt vertreten. Für GlobalSign-Kunden bedeutet das: schnellere Reaktionszeiten und auf Sprache, Region und Land abgestimmte Lösungsangebote. 5

6 INFORMIEREN SIE SICH ÜBER UNSERE LÖSUNGEN ZUR E- MAIL-SICHERHEIT Rufen Sie bei GlobalSign an oder mailen Sie uns, um direkt mit einem unserer Spezialisten zu sprechen. Er wird Sie dabei unterstützen eine für Ihr Unternehmen angemessene Best- Practices-basierte Strategie zu entwickeln und geeignete Tools zur Umsetzung vorschlagen. Alternativ finden Sie weitere Informationen unter ÜBER GLOBALSIGN GlobalSign war eine der ersten Zertifizierungsstellen und bietet seit 1996 digitale Identifizierungs- und Kontrolldienste an. GlobalSign betreibt mehrsprachige Vertriebs- und technische Support-Niederlassungen u.a. in London, Brüssel, Boston, Tokio und Shanghai. GlobalSign verfügt über eine große Zahl von Investoren, darunter die ING Bank und Vodafone. Inzwischen ist GlobalSign Teil der GMO Internet Inc. Gruppe - einer Aktiengesellschaft, die an der Börse in Tokio notiert ist (TSE: 9449) und zu deren Anteilseignern Yahoo! Japan, Morgan Stanley und Credit Suisse First Boston gehören. Als von einem der führenden CA-Unternehmen kommend, werden GlobalSign-Zertifikate von allen gängigen Browsern, Betriebssystemen, Geräten und Anwendungen erkannt und umfassen SSL, Code Signing, Adobe CDS Digitale IDs, & Authentifizierung, Enterprise-Digitale-Lösungen, interne PKI & Microsoft Certificate Service-Root-Signing. Die vertrauenswürdigen Root CA-Zertifikate werden von allen Betriebssystemen, allen großen Webbrowsern, Webservern, -Clients und Internetanwendungen wie auch von mobilen Endgeräten erkannt. Akkreditiert gemäß höchster Standards Als eine von WebTrust akkreditierte öffentliche Zertifizierungsstelle ermöglichen GlobalSign- Lösungen tausenden von Unternehmenskunden sichere Online-Transaktionen und Datentransfers, die Verteilung von manipulationssicheren Codes und das Binden von Identitäten an digitale Zertifikate für -Verschlüsselung und Remote Zwei-Faktor- Authentifizierung wie SSL VPNs. GlobalSign Americas Tel: sales- us@globalsign.com GlobalSign FR Tel: ventes@globalsign.com GlobalSign EU Tel: sales@globalsign.com GlobalSign DE Tel: verkauf@globalsign.com GlobalSign UK Tel: sales@globalsign.com GlobalSign NL Tel: verkoop@globalsign.com 6