Beachte: elektronische Post 10.1 E-mail wird über mehrere eigenständige Zwischenstationen übertragen (MTA), d.h. über mehrere TCP-Verbindungen hat daher nicht Stationsadressen und/oder Portnummern als Endpunkte, sondern Mail Accounts ist daher extrem anfällig gegen Abhören, Manipulation und Maskerade - und erfordert daher eine echte Ende-zu-Ende-Sicherung zwischen Mail Accounts (SSL genügt nicht!) nicht vergessen: Angriffe auf den Mail Server sind nicht auszuschließen (berüchtigt: sendmail) ITS-10.1 1
Zur Erinnerung: Mail Spoofing (7.5.3 ) vader: netcat localhost 25 Trying 127.0.0.1... Connected to localhost (127.0.0.1). Escape character is '^]'. 220 vader.mi.fu-berlin.de ESMTP Exim 3.36 #1 Wed, 19 Apr 2006 10:06:04 HELO mallory 250 vader.mi.fu-berlin.de Hello mallory at localhost [127.0.0.1] MAIL FROM: staff@inf.fu-berlin.de 250 <staff@inf.fu-berlin.de> is syntactically correct RCPT TO: inst@inf.fu-berlin.de 250 <inst@inf.fu-berlin.de> is syntactically correct DATA 354 Enter message, ending with "." on a line by itself Subject: Wurm-Alarm An alle Benutzer:..... ITS-10.1 2
Sichere E-mail: PEM - Privacy-Enhanced Mail http://www.ietf.org/rfc/rfc1421.txt Internet-Norm, veraltet, nur für Text S/MIME - Secure Multi-Purpose Internet Mail Extension http://www.imc.org/smime-pgpmime.html Internet-Norm, auch für Multimedia-Mail PGP - Pretty Good Privacy (1991, Philipp Zimmermann) (6.4.2.4 ) http://www.pgpi.org und andere nicht nur für Mail, vielfach weiterentwickelt, Public Domain Mailtrust - von Teletrust e.v. (deutscher Industrieverband) entwickelt als Reaktion auf Signaturgesetz (2001) http://www.teletrust.de ITS-10.1 3
10.1.1 S/MIME S/MIME - Secure Multi-Purpose Internet Mail Extension http://www.imc.org/smime-pgpmime.html Internet-Norm für E-Mail, auch mit multimedialen Teilen, basiert auf PKCS (Public-Key Cryptography Standard) (6.4.3 ) insbesondere PKCS#7 (Cryptographic Message Syntax, CMS) http://en.wikipedia.org/wiki/pkcs Optionen: Signieren: jeder Empfänger kann lesen, aber nur S/MIME-fähiger Empfänger kann verifizieren Verschlüsseln Signieren und Verschlüsseln: Nachricht und Signatur werden zusammen verschlüsselt ITS-10.1 4
MIME-Version: 1.0 (Apple Message framework v746.2) From: Klaus-Peter Loehr <lohr@inf.fu-berlin.de> To:... Date:... Subject: signature example Content-Type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha1; boundary=apple-mail-2--1012822379 --Apple-Mail-2--1012822379 Content-Type: text/plain; Beispiel für signierte Mail: Here comes my cat: Text mit Bild in der Anlage --Apple-Mail-2--1012822379 - und zusätzlich Signatur Content-Type: image/jpeg; Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=cat.jpg;... (Bilddaten)... --Apple-Mail-2--1012822379 Content-Type: application/pkcs7-signature; name=smime.p7s; Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename=smime.p7s;... (Digitale Unterschrift)... --Apple-Mail-2--1012822379 ITS-10.1 5
Digitale Unterschrift in Objekt des Typs "signierte Nachricht" (.p7s): version: Versionsnummer digestalgorithms: Hash-Verfahren contentinfo: leer (weil Text in separaten Objekten) certificates: (optional) Absender-Zertifikat (X.509v3) (6.4.2.3 ) und evtl. Zertifikate zugehöriger CAs crls: (optional) certificate revocation lists signerinfos: Signatur (und weitere Daten) Beachte: Integrität von Empfänger- und Absenderadresse ist nicht gesichert. Absender-Authentizität wird durch Signatur gesichert. ITS-10.1 6
Hinweis: S/MIME bietet noch mehr: Anforderung einer signierten Empfangsbestätigung (wie Einschreiben mit Rückschein) informelle Sicherheitsetiketten wie "geheim", "vertraulich" u.ä. (security labels) Unterstützung von Mailinglisten..... ITS-10.1 7
ITS-10.1 8
Content-Type: multipart/mixed; boundary="===============9795025829 Sender: softec.hsl-bounces@fernuni-hagen.de Errors-To: softec.hsl-bounces@fernuni-hagen.de Status: This is a multi-part message in MIME format. --===============97950258292720083== Content-class: urn:content-classes:message Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary="----=_nextpart_000_00c7_01c839f4.ee57bcf0 This is a multi-part message in MIME format. ------=_NextPart_000_00C7_01C839F4.EE57BCF0 Content-Type: text/plain; charset="iso-8859-1 Content-Transfer-Encoding: quoted-printable View/Message/ Raw Source =3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D= Aufruf zur Einreichung von Beitr=E4gen ITS-10.1 9 2. Workshop zur Erhebung, Spezifikation und Analyse.....
..... http://se2008.in.tum.de/ oder http://www.iese.fraunhofer.de/fhg/iese_de/events/nfr_workshop/index ------=_NextPart_000_00C7_01C839F4.EE57BCF0 Content-Type: application/x-pkcs7-signature; name="smime.p7s Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="smime.p7s MIAGCSqGSIb3DQEHAqCAMIACAQExCzAJBgUrDgMCGgUAMIAGCSqGSIb3DQEHAQAAoII ggqsoamcaqicaqawdqyjkozihvcnaqefbqawtzelma.......... fvxxu69crduof3q0ii5vt3yne0uhe9g7og76bdhlz2peqsd9yn10suhlmlh/soq9lgw 40I9ebYhPptH5dGtfqMtq9pnHad60pUH9EGnqabEuhEAAAAAAAA= ------=_NextPart_000_00C7_01C839F4.EE57BCF0-- --===============97950258292720083== Content-Type: text/plain; charset="iso-8859-1 MIME-Version: 1.0 Content-Transfer-Encoding: quoted-printable Softec.hsl mailing list..... --===============97950258292720083==-- (Ende) ITS-10.1 10
10.1.2 PGP PGP - Pretty Good Privacy (6.4.2.4 ) wird vor allem für E-mail eingesetzt: PGP/MIME - PGP für E-mail http://www.imc.org/smime-pgpmime.html Regelungen für E-mail-Syntax folgen dem MIME-Standard diverse Plugins für Mail Tools Beachte: S/MIME und PGP/MIME sind nicht miteinander verträglich! ITS-10.1 11
Beispiel (verkürzt): Mime-Version: 1.0 (Apple Message framework v746.2) Message-Id:... Content-Type: multipart/encrypted; protocol="application/pgp-encrypted"; boundary="apple-mail-5--946279245" Content-Transfer-Encoding: 7bit X-Pgp-Agent: GPGMail 1.1.2 (Tiger) X-Gpgmail-State: encrypted X-Mailer: Apple Mail (2.746.2) PGP GnuPG PGP ITS-10.1 12
Zur Erinnerung (6.4.2.4 ): keine PKI mit CAs benötigt, stattdessen Schlüsselerzeugung in eigener Regie, Zertifikate im persönlichen "web of trust" ITS-10.1 13
GnuPG Plugin für Mac OS X (http://www.sente.ch/software/gpgmail) ITS-10.1 14
ITS-10.1 15
ITS-10.1 16
ITS-10.1 17
ITS-10.1 18
View/Message/ Long Headers ITS-10.1 19
Mime-Version: 1.0 (Apple Message framework v746.2) To: =?ISO-8859-1?Q?Peter_L=F6hr?= lohr@inf.fu-berlin.de Message-Id: 57C0146B-66A8-4132-B039-8AEAF1F1F648@inf.fu-berlin.d Content-Type: multipart/encrypted; protocol="application/pgp-encrypted"; boundary="apple-mail-5--946279245" From: =?ISO-8859-1?Q?Peter_L=F6hr?= lohr@inf.fu-berlin.de Subject: =?ISO-8859-1?Q?Signieren_UND_Verschl=FCsseln?= Date: Mon, 26 Jun 2006 09:31:35 +0200 Content-Transfer-Encoding: 7bit X-Pgp-Agent: GPGMail 1.1.2 (Tiger) X-Gpgmail-State: encrypted X-Mailer: Apple Mail (2.746.2) X-Remote-IP: 160.45.232.18 Status: This is an OpenPGP/MIME encrypted message (RFC 2440 and 3156) View/Message/ Raw Source --Apple-Mail-5--946279245 content-type: application/pgp-encrypted content-transfer-encoding: 7bit content-description: PGP/MIME Versions Identifikation Version: 1 ITS-10.1 20
--Apple-Mail-5--946279245 content-type: application/octet-stream; name="pgp.asc" content-transfer-encoding: 7bit content-description: =?ISO-8859-1?Q?Nachricht_verschl=FCsselt_mit content-disposition: inline; filename="pgp.asc" -----BEGIN PGP MESSAGE----- Version: GnuPG v1.4.3 (Darwin) hqioa7ugh0rsa02jeaf+m2zqtbsip5dpafbwgm/c+hvdytu44osow4nlnrd9nldk P1yYZ2hB0/lzo/16RldssHieXY5+rf/1axXtAoDu577aSZ14UDrIszoCT5kXPNA3 pyrkbp/3150mzzjn.............................. SP/rL1DmDf/OoTtEm3igr+Q6xMOiM7Y5Tn8vnBmE92Ns+K314ko/ 7Bi/MdRZfXnCNT/QunCnnHzl+pL/RwB0S2SyWGi5hH5vssDlsWCgHFEwDLbgVyJu TEXYNoiAQwCZOLVonf/x+BVWFn27W9XfpO262qg= =wksm -----END PGP MESSAGE----- --Apple-Mail-5--946279245-- ITS-10.1 21
ITS-10.1 22
ITS-10.1 23
.jpg-datei für Bild, ferner PGP.sig: -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.3 (Darwin) id8dbqfen41deklx8tbtkfkralhpaj9t2b5cwrzdks 09xPBn0W/UwcoatU/QSqMbA= =BO2h -----END PGP SIGNATURE----- ITS-10.1 24
..... Content-Type: multipart/signed; protocol="application/pgp-signature micalg=pgp-sha1; boundary="apple-mail-5--646810258 From: =?ISO-8859-1?Q?Peter_L=F6hr?= lohr@inf.fu-berlin.de Subject: 2 Date: Tue, 22 Jan 2008 11:44:48 +0100 Content-Transfer-Encoding: 7bit X-Pgp-Agent: GPGMail 1.1.2 (Tiger) X-Gpgmail-State: signed This is an OpenPGP/MIME signed message (RFC 2440 and 3156) --Apple-Mail-5--646810258 Content-Type: multipart/mixed; boundary=apple-mail-4--646810478 --Apple-Mail-4--646810478 Content-Transfer-Encoding: 7bit Content-Type: text/plain; charset=us-ascii; format=flowed View/Message/ Raw Source - nur signiert - Hier kommt ein Bild: --Apple-Mail-4--646810478 Content-Transfer-Encoding: base64 Content-Type: image/jpeg;..... ITS-10.1 25
..... kb2suzx3spj0mfwjvvnkwstm7ewixpceclsuzc8snu+qjdj9um1odi+aut8z6gi8jl OgNOXAM31U0arkCkixX973VBbsy43G3r7aMWnmQH3gJqKgW5FK/Pe6v+VsX97b/tU/ 2Q== --Apple-Mail-4--646810478-- --Apple-Mail-5--646810258 content-type: application/pgp-signature; x-mac-type=70674453; name=pgp.sig content-description: This is a digitally signed message part content-disposition: inline; filename=pgp.sig content-transfer-encoding: 7bit -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.3 (Darwin) id8dbqfhlckl/ufw9gexjsqrajpoaj9spcdfolysyq+arudcll3ekbk+vwcfdnxb AyF8Fbl4ThSUUUKpRdf/Qm8= =VpS5 -----END PGP SIGNATURE----- --Apple-Mail-5--646810258-- (Ende) ITS-10.1 26
Vergleich S/MIME - PGP/MIME: Mandatory features Message format Certificate format Symmetric encryption algorithm Signature algorithm Hash algorithm MIME encapsulation of signed data MIME encapsulation of encrypted data S/MIME v3 Binary, based on CMS Binary, based on X.509v3 TripleDES (DES EDE3 CBC) Diffie-Hellman (X9.42) with DSS or RSA SHA-1 Choice of multipart/signed or CMS format application/pkcs7-mime OpenPGP Binary, based on previous PGP Binary, based on previous PGP TripleDES (DES EDE3 Eccentric CFB) ElGamal with DSS SHA-1 multipart/signed with ASCII armor multipart/encrypted (Quelle: http://www.imc.org/smime-pgpmime.html) ITS-10.1 27