Secure Messaging. Ihnen? Stephan Wappler IT Security. IT-Sicherheitstag. Sicherheitstag,, Ahaus

Transkript

1 Secure Messaging Stephan Wappler IT Security Welche Lösung L passt zu Ihnen? IT-Sicherheitstag Sicherheitstag,, Ahaus

2 Agenda Einleitung in die Thematik Secure To-End To-Site Zusammenfassung

3 Einleitung - Herausforderung verschlüsselung Was ist, wenn verschlüsselung eine Geschäftsanforderung bzw. Voraussetzung ist, aber PGP und manueller Schlüsselaustausch zu komplex und zu teuer für die Administration des Unternehmens sind? Proprietäre Herstellerlösungen nur mit Schwierigkeiten interoperabel bzw. teuer im Einsatz für das Unternehmen und alle seine Geschäftspartner sind? Dann wird eine verschlüsselung benötigt, Die es Organisationen ermöglicht stark verschlüsselte s auszutauschen unter Nutzung einer standardbasierten, herstellerneutralen Architektur. Die existierend existierende systeme, Verzeichnisdienste und Public Key Infrastruktur (PKI) Komponenten nutzt.

4 Eine Lösung für verschlüsselung Public Key Infrastruktur (PKI) und Certification Practice Statement (CPS) um eine zertifikatsbasierte Vertrauensbeziehung zwischen den Organisationen zu etablieren X. 509 v3 Zertifikate zur gesicherten Übertragung des symmetrischen Schlüssels für starke Verschlüsselung von 128-Bit oder höher Ausgestellte Zertifikate werden in einem Standard LDAPv3 Verzeichnisdienst veröffentlicht Echtzeitanfragen nachdem Zertifikat des empfängers für die E- Mailverschlüsselung Für die Verschlüsselung und den Transport von s werden die Internetstandards S/MIME und SMTP angewendet

5 Architektur - Übersicht Organization 2 Intranet Challenge Boundary Organization 1 Intranet Request to LDAP proxy with recipient's address External LDAP Proxy Internal LDAP Proxy LDAP Server with User Entries & Certificates LDAP Server or Proxy x509 v3 Public Key Desktop PC Desktop PC Network Firewall Public Network Network Firewall S/MIME Compliant Server Normal Message Route Normal Message Route Messaging Backbone Services Exchange Server

6 Standard Lösungen Ende/Site zu Ende Sicherheit Einsatz von Standardclients (z.b. Outlook, Netscape, Lotus Notes...) Ent- und Verschlüsselung findet auf dem Client statt Signaturen werden auf dem Client ausgestellt Für jeden teilnehmenden User wird mindestens ein Zertifikat benötigt Roll out der CA Zertifikate teilnehmenden Unternehmen muss über die beteiligten Clients organisiert werden. Wird kein LDAP-Proxy oder zentral administrierter Verzeichnisdienst eingesetzt, dann müssen die Verzeichnisdienstinformationen der teilnehmenden Unternehmen an die Clients verteilt werden.

7 Standardnetzwerk S D

8 Standardnetzwerk und verschlüsselte s SD

9 Vorteile der Standardlösung Vorteile Kostengünstige Lösung, d.h. ohne Investition in Zusatzsoftware realisierbar Schnelle Realisierung möglich.

10 Nachteile der Standardlösung Nachteile Kein zentrales Contentfiltering möglich, weder bei Ein- noch Ausgang von s. Kein mehrstufiges Antivirenkonzept möglich, weder bei Ein- noch Ausgang von s. Probleme bei der Weiterleitung von verschlüsselten s unter Nutzung von Unified Messaging Solutions. Eine Stellvertreterregelung bedarf einer guten organisatorischen Planung im Vorfeld. Letzte Bastion ist der Desktop/Laptop des Users. Für jeden User ist mindestens ein Zertifikat notwendig. Roll out der teilnehmenden Partner CA Zertifikate ist notwendig. Roll out der Verzeichnisdienstinformationen der teilnehmenden Partner über alle Clients ist eventuell notwendig.

11 Mögliche Secure Gateway - Lösungen Ende/Site zu Ende Sicherheit Entschlüsselung mit Userinteraktion Lösung A Entschlüsselung ohne Userinteraktion Lösung B Ende/Site zu Site Sicherheit Zentrale Entschlüsselung und digitale Signatur mit einem Unternehmenszertifikat Lösung C

12 Secure Gateway Lösung A (1/4) Funktionsweise Verschlüsselte wird an einem speziellem Gateway gespeichert. Header der mit symmetrischen Schlüssel wird an Empfänger weitergleitet. Empfänger entschlüsselt den symmetrischen Schlüssel und verschlüsselt ihn an das Gateway erneut. Das Gateway entschlüsselt den symmetrischen Schlüssel und kann somit die E- Mail entschlüsseln. Das Gateway führt das Contentfiltering und Virusscanning in einer Blackbox durch. Wenn der Status OK ist, wird die an den Empfänger weitergeleitet und erst auf dem Desktop/Laptop des Users wieder entschlüsselt.

13 Secure Gateway Lösung A (2/4) SD

14 Secure Gateway Lösung A (3/4) Vorteile Virusscanning und Contentfiltering ist möglich. Zweistufiges Virenkonzept kann realisiert werden.

15 Secure Gateway Lösung A (4/4) Nachteile Proprietäre Lösung Roll out Client Plug-Ins für die Interaktion mit Gateway ist notwendig Investition für Plug-Ins und Gateway notwendig Probleme bei der Weiterleitung von verschlüsselten s bei Nutzung von Unified Messaging Solutions. Eine Stellvertreterregelung bedarf einer guten organisatorischen Planung im Vorfeld. Angriffspunkte sind das Gateway und die Datenübertragung zwischen Client und Gateway Für jeden User ist mindestens ein Zertifikat notwendig. Roll out der teilnehmenden Partner CA Zertifikate notwendig. Roll out der Verzeichnisdienstinformationen der teilnehmenden Partner über alle Clients ist eventuell notwendig.

16 Secure Gateway Lösung B (1/4) Funktionsweise Die privaten Schlüssel der empfänger werden in einer gesicherten Umgebung des Gateway bzw. zentral im Netzwerk gespeichert. Verschlüsselte wird am Gateway entschlüsselt und Contentfiltering und Virusscanning in einer Blackbox ausgeführt. Wenn der Status OK ist, wird die an den Empfänger weitergeleitet. Wird die verschlüsselt weitergeleitet, dann wird sie erst auf dem Desktop/Laptop des Users wieder entschlüsselt. Die kann auch unverschlüsselt weitergeleitet werden.

17 Secure Gateway Lösung B (2/4) SD

18 Secure Gateway Lösung B (3/4) Vorteile Virusscanning und Contentfiltering sind möglich. Zweistufiges Virenkonzept kann realisiert werden. Dreistufiges Virenkonzept (unverschlüsselte Weiterleitung der s) kann realisiert werden. Unified Messaging Solutions werden nicht behindert. Vertreterregelung kann realisiert werden.

19 Secure Gateway Lösung B (4/4) Nachteile Speicherung der privaten Schlüssel an zentralen Punkt --> Angriffspunkt. Einsatz von auf Smart Cards / USB Token generierten und gespeicherten privaten Schlüsseln zur verschlüsselung nicht möglich (nicht auslesbar). Gateway muss installiert werden - Investition Absender und Mitarbeiter sollten über den Einsatz der Technik informiert werden. Für jeden User mindestens ein Zertifikat notwendig Roll out der teilnehmenden Partner CA Zertifikate notwendig. Roll out der Verzeichnisdienstinformationen der teilnehmenden Partner über alle Clients ist eventuell notwendig.

20 Secure Gateway Lösung C (1/4) Funktionsweise Absender verschlüsselt die an den Empfänger unter Nutzung eines Unternehmenszertifikates des Empfängers. Verschlüsselte wird am Gateway entschlüsselt und Contentfiltering und Virusscanning können ausgeführt werden. Wenn der Status OK ist, wird die an den Empfänger unverschlüsselt weitergeleitet. s können zentral bzw. dezentral verschlüsselt und/oder signiert werden. Am Gateway kann ein umfangreiches Regelwerk für den Umgang mit s (verschlüsseln, signieren, Entfernen von Signaturen, Überprüfung von Signaturen, usw.) definiert werden.

21 Secure Gateway Lösung C (2/4) SD

22 Secure Gateway Lösung C (3/4) Vorteile Virusscanning und Contentfiltering sind möglich. Dreistufiges Virenkonzept (unverschlüsselte Weiterleitung der s) ist möglich. Definition eines umfangreichen Regelwerks ist möglich. Nur ein Unternehmenszertifikat ist notwendig. Alle ausgehenden s können mit einer Unternehmenssignatur versehen werden. Zentraler Administrationspunkt für Partner CA Zertifikate und Verzeichnisdienstinformationen (zentrale Verschlüsselung)

23 Secure Gateway Lösung C (4/4) Nachteile Einsatz von auf Smart Cards / USB Token generierten und gespeicherten privaten Schlüsseln für verschlüsslung nicht möglich. s werden vom Gateway zum server und von dort zum Desktop/Laptop unverschlüsselt übertragen. Probleme bei der Adressierung von s an den Empfänger sind bekannt. Keine fortgeschrittenen oder qualifizierte Signaturen mit dem Gateway möglich. Roll out der Verzeichnisdienstinformationen der teilnehmenden Partner über alle Clients ist eventuell notwendig (Verschlüsselung der s auf dem Client). Gateway muss angeschafft werden Investition

24 Common Practices Die Betrachtung der rechtlichen, politischen und geschäftlichen Aspekte sind für den Erfolg genauso wichtig, wie die technische Implementierung.

25 Best Practices Wie kann sichergestellt werden, dass der öffentliche Schlüssel aktuell zum zukünftigen Empfänger gelangt? Certificate Policies Certification Practice Statement Woher kann man wissen, dass der Empfänger die Infrastruktur und die verschlüsselten Dokumente schützen wird? Relying Party Agreement Bei einer großen Anzahl von Partnern sind eine Vielzahl von Bilateralen Abkommen möglich. Ist dies praktikabel? Multi-laterale Abkommen und Akzeptanz von Best Practices

26 Zusammenfassung I Einsatz von auf Standards basierenden Lösungen sind empfehlenswert. Einsatz von kommerzieller Software bzw. Open Source Produkten. Es gibt für (fast) jeden Anwendungsfall eine Lösung. Die Betrachtung der Organisation und der rechtlichen Aspekte sind für die erfolgreiche Nutzung von entscheidender Bedeutung.

27 Zusammenfassung II Voraussetzung Technik system: S/MIME Client/Gateway: S/MIME, LDAPv3, X.509v3 Zertifikate X.509v3 Zertifikate: eigene CA oder Trustcenter Zertifikatsrepository: LDAPv3 Schnittstelle LDAPv3 und HTTP(s) Schnittstelle ins Internet Bereitstellung von CRLs via HTTP Optional: OCSP Server, LDAP Directory, OCSP Client

28 Zusammenfassung III Voraussetzung Organisation Einsatz von Kryptographie benötigt Policies und Richtlinien für Klassifizierung von Daten Umgang mit Daten und Datentransfer Virenschutz Einsatz von PKI CP und CPS Konzepte für Contentfiltering Zertifikats- und Schlüsselmanagement Access Daten Verwaltung für Verzeichnis- und Validierungsdienste Akzeptanz von Best Practices Relying Party Agreements Multilateral Agreements (Eventuell) Zustimmung von Geschäftsleitung Datenschutzbeauftragten Betriebsrat Mitarbeiter Beachtung rechtlicher Aspekte Digitaler Signatur Verschlüsselung

29 Weitere Informationen zur Thematik Toolkit der Secure Messaging Challenge: Bridge Infrastrukturen Allgemeine Informationen und zum LDAP-Proxy

30 Fragen?

31 Kontaktinformation Stephan Wappler Consultant IT-Security noventum consulting GmbH Münsterstrasse 111 D Münster fon +49 (0) / fax +49 (0) / mobile + 49 (0) 163 / stephan.wappler@noventum.de