Wie sicher reist meine ?

Ähnliche Dokumente
.gv.at Sicherheitsanalyse

Denn es geh t um ihr Geld: Kryptographie

Digitale Signaturen in Theorie und Praxis

ESTOS XMPP Proxy

ESTOS XMPP Proxy

Wie sicher Schweizer s reisen

Einführung von DNSSEC und DANE im Bayerischen Hochschulnetz (BHN) Sven Duscha, Bernhard Schmidt, Daniel Feuchtinger und Helmut Reiser

PKI wie weiter? PKI - wie weiter? Jens Albrecht, insinova ag SwissInfosec 2003

Informatik 2017 Keys4All-Workshop , Chemnitz

Sichere Nutzung

Anleitung zur -Verschlüsselung für Kommunikationspartner der Debeka

2.7 Digitale Signatur (3) 2.7 Digitale Signatur (4) Bedeutung der digitalen Signatur. Bedeutung der digitalen Signatur (fortges.)

Übungen zur Vorlesung Systemsicherheit

Webseiten mit HTTPS bereitstellen und mit HSTS sichern

IT-Sicherheitstag 2016

Mailserver Teil 2 Linux-Kurs der Unix-AG

Literatur. [3-5] Klaus Schmeh: Kryptografie. dpunkt, 3. Auflage, [3-6] Bruce Schneier: Secrets & Lies. dpunkt, 2001

Wie verschlüsseln Sie die Verbindung zwischen SIMATIC Logon und einem Comfort Panel oder einer WinCC Runtime Advanced?

Christoph Mitasch, Thomas-Krenn.AG. Webinar, 4. Juli 2018

SYMANTEC ENCRYPTION PLATFORM. Steffen Roth Senior Security Engineer

DROWN (oder warum TLS-Konfiguration schwer ist)

Dokumentation. Elektronische Rechnungsübertragung mit der First Businesspost mittels. Business Connector 4.6

Symantec and Web Security.cloud

Kryptographie. Nachricht

Webseiten mit HTTPS bereitstellen und mit HSTS und HPKP sichern

Nachrichten- Verschlüsselung Mit S/MIME

FL1 Hosting Technische Informationen

Personalisierte Verschlüsselung für basierte Kundenkommunikation

GFI-Mail mit Evolution

Modul 11: Sicherer Remote-Zugriff über SSH

Verschlüsselte s: Wie sicher ist sicher?

SSL/TLS: Ein Überblick

Hinweise zur -Verschlüsselung mit der AUDI AG

Secure Sockets Layer (SSL) Prof. Dr. P. Trommler

Kryptologie. Bernd Borchert. Univ. Tübingen SS Vorlesung. Teil 10. Signaturen, Diffie-Hellman

Übung GSS Blatt 6. SVS Sicherheit in Verteilten Systemen

verschlüsselung mit Thunderbird

Verschlüsselungs. sselungs- verfahren. Mario Leimgruber. AMREIN EN GIN EERIN G Messaging & Gr oupwar e Solutions

IT-Dienste und Anwendungen. Einrichtung eines. für Studierende. Dokumentennummer: IT-ZSD-007

DynDNS für Strato Domains im Eigenbau

OpenSSL in der Praxis

Virtuelle Private Netzwerke in der Anwendung

Datenschutz- und Verschlüsselungsverfahren

Die Idee des Jahres 2013: Kommunikation verschlüsseln

Kryptographische Grundlagen

s verschlüsseln. Von der Erfindung des E-Vorhängeschlosses

TeleTrusT Bundesverband IT-Sicherheit e.v. Der IT-Sicherheitsverband. Selbsterklärung. zur Teilnahme an der TeleTrusT European Bridge CA

Wie richte ich mein Webhosting auf dem Admin Panel ein?

WEBINAR: HTTPS, ZERTIFIKATE, GRÜNE URLS. Trügerische Sicherheit im Internet

Digitale Signatur. Digitale Signatur. Anwendungen der Kryptographie. Secret Sharing / Splitting. Ziele SSL / TLS

Anleitungen. Stand: 28. April (Work in Progress) 4 Sichere Mailverbindung in Thunderbird und Outlook 5

Mailserver Teil 2. Andreas Teuchert. 23. Februar 2015

Mailserver Teil 1 Linux-Kurs der Unix-AG

Public Key Infrastruktur. Georg Gruber & Georg Refenner 26.Jänner 2009 ITTK 09

Cnlab/CSI Herbsttagung Kryptographie in Smartphones

Netzwerke Teil 10: Einführung in die Kryptographie

Was traut die magellan der Cloud zu?

Cnlab/CSI Herbstveranstaltung Kryptographie in Smartphones

Modul 10: Sicherer Remote-Zugriff über SSH

Sender ID Framework (SDIF)

Motivation Datenübertragungs Basics Protokolle DIME-Standard Funktionsumfang Zusammenfassung DIME. Dark Internet Mail Environment

N. Sicherheit. => Literatur: Tanenbaum & vansteen: Verteilte Systeme.

Steigerung der sicherheit in Bayern mit DNSSEC und DANE. Sven Duscha

DNSCrypt und DNS-over-TLS

Vorwort ist heute für Unternehmen ein häufig eingesetztes Kommunikationsmittel, das zum Austausch von Informationen verwendet wird.

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere

Sichere mit OpenPGP und S/MIME

Herzlich Willkommen. Das Datenschutz zertifizierte Videomanagement-System. Mike Plötz security engineer, BdSI Produktmanager vimacc Videosysteme

Denn es geht um ihr Geld:

DNSSEC. Was ist DNSSEC? Wieso braucht man DNSSEC? Für ein sicheres Internet

Security-Check . Rainer Pollak :00 Uhr

SMTP Sicherheit mit DANE sys4.de

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s

USB-Tokens. Technik und Einsatzgebiete

DANE Securing Security sys4.de

Anleitungen zur TLS / SSL - Verschlüsselung

SSL-Zertifikate. Sicherheit im Web. Dataforce Support AG. Bollstrasse 43 - CH-3076 Worb Tel +41 (0) Fax +41 (0)

Security-Webinar. April Dr. Christopher Kunz, filoo GmbH

Umstellung IncaMail- Serverinfrastruktur

Vermischtes Tips zu Mutt. Sicherheit SSL. Grundlagen Mailserver. Mutt. POP vs. IMAP PGP/GPG. Sieve. SSH Tunnel. Mail mit Mutt

Hacken von implementierungsspezifischen! SSL-Schwachstellen

IT-Sicherheit SSL/TLS. Jens Kubieziel. Fakultät für Mathematik und Informatik. 6. Januar 2012

Vision eines Sicherheitskonzeptes für zukünftige, dienstorientierte Netze

*DE A *

(S/MIME) Verschlüsselung

Produktportfolio 2018

Anleitung für die Migration auf die Domain business.mnet-voip.de. Swyx

Kryptografie. Die Kryptografie wurde schon in primitiver Form von den Römern verwendet:

FL1 Hosting Kurzanleitung

Übersicht Beantragungs- & Installationsprozess

Internet Security: Verfahren & Protokolle

Verschlüsselte Webseiten mit SSL aber richtig Wie setze ich SSL sinnvoll, kostengünstig und sicher ein? Dominik Vallendor

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

Anleitung zum Anlegen und Einrichten eines Accounts

DA(e)NEn lügen nicht. Patrick Ben Koetter Carsten Strotmann

Übersicht Beantragungs- & Installationsprozess

Checkliste für Domain-Migration zu Swisscom/IP-Plus

DNS & DNSSEC. Simon Mittelberger. DNS und DNSSEC. Eine Einführung. 12. und 13. Januar, und 13. Januar, / 66

Sicherheit von PDF-Dateien

Transkript:

Wie sicher reist meine E-Mail? Prof. Dr. Andreas Steffen Zürcher Hochschule Winterthur andreas.steffen@zhwin.ch User-zu-User Email Sicherheit antje@mars.ch bodo@pluto.ch verschlüsseln Bodo #3 entschlüsseln Kool CA mail.mars.ch mail.pluto.ch S/MIME User-zu-User Email Verschlüsselung bedingt, dass jeder User ein Zertifikat besitzen muss. Problem #1: Es gibt kein globales Zertifikatsverzeichnis für Email User. Problem #2: Private Key Recovery in Notfällen. 2 1

Server-zu-Server Email Sicherheit antje@mars.ch pluto.ch #7 bodo@pluto.ch Kool CA verschlüsselt mail.mars.ch mail.pluto.ch SMTP Server-zu-Server Email Verschlüsselung auf der Basis von Transport Layer Security (SSL/TLS) bedingt, dass nur der Mailserver jeder Domain ein Zertifikat besitzen muss. Nachteil: Es muss den Mailservern in der Übertragungskette vertraut werden, obwohl diese überwacht werden könnten. 3 Studie "TLS-fähige Mailserver in den.ch +.li Domains" Christian Brauchli, Jakob Furrer Studiengang Kommunikation und Informatik Zürcher Hochschule Winterthur braucchr@zhwin.ch, furrejak@zhwin.ch 2

Anzahl MX Records pro Domain 1 MX 277'000 58% 471'000 aktive.ch +.li Domains kein MX 76'000 16% 4 MX und mehr 3'000 1% 3 MX 13'000 3% 2 MX 102'000 22% 395'000 Domains mit MX Einträgen (84%) 5 Domains mit SMTP Mailserver 1 SMTP 276'000 69% 395'000 Domains mit MX Eintrag kein SMTP 8'000 2% 4 SMTP und mehr 2'000 1% 3 SMTP 11'000 3% 2 SMTP 98'000 25% 387'000 Domains mit funktionierendem Mailserver (98%) 6 3

STARTTLS Support (SMTP Port 25) kein TLS 300'000 77% 387'000 Domains mit SMTP Server 3 TLS und mehr 7'000 2% 2 TLS 15'000 4% 1 TLS 65'000 17% 87'000 Domains mit STARTTLS Unterstützung (23%) Bevorzugter Sicherheitsmechanismus 7 TLS Support (SMTPS Port 465) kein SMTPS 324'000 83% 387'000 Domains mit SMTP Server 3 SMTPS und mehr 7'000 2% 2 SMTPS 2'000 1% 1 SMTPS 54'000 14% 63'000 Domains mit SMTPS Unterstützung (17%) Sollte nicht mehr verwendet werden 8 4

STARTTLS und SMTPS kombiniert kein TLS 273'000 70% 387'000 Domains mit SMTP Server 3 TLS und mehr 7'000 2% 2 TLS 15'000 4% 1 TLS 92'000 24% 114'000 Domains mit sicherem Mailserver (30%) 9 Verschlüsselungsalgorithmen SSL_RSA_EXPORT_WITH_RC4_40_MD5 6 Verbindungen SSL_RSA_WITH_RC4_128_MD5 128'201 Verbindungen SSL_RSA_WITH_RC4_128_SHA 13'797 Verbindungen SSL_RSA_WITH_3DES_EDE_CBC_SHA 1'592 Verbindungen TLS_DHE_DSS_WITH_AES_128_CBC_SHA 7 Verbindungen Schwache 40 Bit Verschlüsselung kommt fast nicht mehr vor. Das Arbeitspferd ist immer noch RC4 mit 128 Bit Schlüssel. Moderne AES Verschlüsselung wird noch kaum verwendet. 10 5

Länge der RSA Public Key Schlüssel 1024 Bit 2061 82% 512 Bit 208 8% 2048 Bit 240 10% 1789 Bit 1 512 Bit RSA Schlüssel sind kryptografisch zu schwach und sollten nicht verwendet werden. 11 TLS benötigt Mailserver-Zertifikate X.509v3 1'998 80% X509v1 485 19% X.509v4* 27 1% 2'510 X.509 Zertifikate auf 114'000 sichere Domains 1 X.509 Zertifikat auf 45 sichere Domains! Was ist der Grund??? *Es gibt keine v4 Zertikate, sondern es wurde v3 falsch ASN.1 codiert (0x03 anstatt 0x02) 12 6

Anzahl physikalischer Mailserver kein TLS 27'366 IP 83% STARTTLS 2'022 IP 6% Beide 2'493 IP 8% SMTPS 1'055 IP 3% Die Maildienste von 387'000 CH + LI Domains werden auf nur 33'000 physikalischen Rechnern (identifiziert durch die IP Adresse) gehostet. Davon unterstützen 5570 Server (17%) sichere Email (STARTTLS, SMTPS oder beide Ports). 13 Zertifikate versus IP Adressen 3000 2500 Zertifikate 2000 1500 2 IPs pro Zertifikat 807 IPs pro Zertifikat 1000 500 1 IP pro Zertifikat 0 0 1000 2000 3000 4000 5000 6000 IP Adressen Zuordnung der 5570 physikalischen Mailhosts (IP Adressen) auf 2510 Zertifikate. 14 7

Zertifikate vs TLS Verbindungen 3000 2500 Zertifikate 2000 1500 44'000 Verbindungen 1 Zertifikat 1000 500 878 Verbindungen 878 Zertifikate 0 0 20000 40000 60000 80000 100000 120000 140000 160000 180000 200000 TLS Verbindungen Zuordnung der 195'000 getesteten TLS Verbindungen (STARTTLS und SMTPS) auf die 2510 Zertifikate. 15 Interpretation Zertifikate versus IP Adressen 2293 von total 2510 Zertifikaten werden jeweils nur von einem Mailhost verwendet. Die restlichen 217 Zertifikate werden auf mehreren Mailhosts eingesetzt. Auf mehr als 1400 Mailhosts wird die Plesk Web Hosting Software mit einem Plesk Default-Zertifikat eingesetzt. Zertifikate versus TLS Verbindungen Ca. 1500 Zertifikate werden jeweils nur von einem Domain verwendet. In einem Fall wird ein Zertifikat von einem ISP verwendet, über den 44'000 TLS Verbindungen laufen. 16 8

Gültigkeitsdauer der Zertifikate 1-2 Jahre 1120 44% 3-5 Jahre 244 10% 1-6 Monate 448 18% > 10 Jahre 573 23% 6-10 Jahre 125 5% Viele Demo-Zertifikate (1-6 Monate) Gültigkeitsdauer >10 Jahre bei 1024 Bit RSA Schlüsseln macht aus Sicherheitsgründen keinen Sinn. 17 Gültigkeit der Zertifikate gültig 1'952 78% abgelaufen 558 22% Viele abgelaufene Demo-Zertifikate 18 9

Vertrauenswürdige Zertifikate Self-Signed 1645 66% Private CA 688 27% Trusted CA 177 7% Self-Signed Zertifikaten kann nicht vertraut werden. Private Root CA Zertifikate sind meist nicht lokalisierbar. Trusted CAs (Thawte, Equifax, Comodo, TrustCenter, Verisign, etc.) werden nur vereinzelt eingesetzt. 19 Fazit 471'000 aktive Domains 387'000 Domains mit Mailserver 114'000 TLS-fähige Domains 33'000 physikalische Mailhosts 5'570 TLS-fähige Mailhosts 2'510 Server-Zertifikate 177 vertrauenswürdige Zertifikate 20 10

Fazit 30% aller Domains unterstützen zumindest empfangsseitig die verschlüsselte Übertragung von Emails. Erfreulicherweise wird fast ausschliesslich starke 128 Bit Verschlüsselung eingesetzt. Es sind 2510 X.509 Zertifikate im Gebrauch, die höchst ungleich auf die Domains verteilt sind, da ein grosser Teil der Domains durch ein paar wenige ISPs gehostet wird. Die Zertifikate beeinhalten meist 1024 Bit Public Keys. 60% davon sind 1-10 Jahre gültig, der Rest ist entweder schon abgelaufen oder eindeutig zu lange gültig. Nur 7% aller Zertifikate sind von einer offiziellen CA signiert. Eine verlässliche Authentisierung des Mailservers ist deshalb meist nicht möglich. Damit TLS zur SPAM-Bekämpfung eingesetzt werden könnte, müsste der Prozentsatz vertrauenswürdiger Zertifikate stark vergrössert werden. 21 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback