Secure Messaging Stephan Wappler IT Security Welche Lösung L passt zu Ihnen? IT-Sicherheitstag Sicherheitstag,, Ahaus 16.11.2004
Agenda Einleitung in die Thematik Secure E-Mail To-End To-Site Zusammenfassung
Einleitung - Herausforderung E-Mailverschlüsselung Was ist, wenn E-Mailverschlüsselung eine Geschäftsanforderung bzw. Voraussetzung ist, aber PGP und manueller Schlüsselaustausch zu komplex und zu teuer für die Administration des Unternehmens sind? Proprietäre Herstellerlösungen nur mit Schwierigkeiten interoperabel bzw. teuer im Einsatz für das Unternehmen und alle seine Geschäftspartner sind? Dann wird eine E-Mailverschlüsselung benötigt, Die es Organisationen ermöglicht stark verschlüsselte E-Mails auszutauschen unter Nutzung einer standardbasierten, herstellerneutralen Architektur. Die existierend existierende E-Mailsysteme, Verzeichnisdienste und Public Key Infrastruktur (PKI) Komponenten nutzt.
Eine Lösung für E-Mailverschlüsselung Public Key Infrastruktur (PKI) und Certification Practice Statement (CPS) um eine zertifikatsbasierte Vertrauensbeziehung zwischen den Organisationen zu etablieren X. 509 v3 Zertifikate zur gesicherten Übertragung des symmetrischen Schlüssels für starke Verschlüsselung von 128-Bit oder höher Ausgestellte Zertifikate werden in einem Standard LDAPv3 Verzeichnisdienst veröffentlicht Echtzeitanfragen nachdem Zertifikat des E-Mailempfängers für die E- Mailverschlüsselung Für die Verschlüsselung und den Transport von E-Mails werden die Internetstandards S/MIME und SMTP angewendet
Architektur - Übersicht Organization 2 Intranet Challenge Boundary Organization 1 Intranet Request to LDAP proxy with recipient's address External LDAP Proxy Internal LDAP Proxy LDAP Server with User Entries & Certificates LDAP Server or Proxy x509 v3 Public Key Desktop PC Desktop PC Network Firewall Public Network Network Firewall S/MIME Compliant Email Server Normal Message Route Normal Message Route Messaging Backbone Services Exchange Server
Standard Lösungen Ende/Site zu Ende Sicherheit Einsatz von Standardclients (z.b. Outlook, Netscape, Lotus Notes...) Ent- und Verschlüsselung findet auf dem Client statt Signaturen werden auf dem Client ausgestellt Für jeden teilnehmenden User wird mindestens ein Zertifikat benötigt Roll out der CA Zertifikate teilnehmenden Unternehmen muss über die beteiligten Clients organisiert werden. Wird kein LDAP-Proxy oder zentral administrierter Verzeichnisdienst eingesetzt, dann müssen die Verzeichnisdienstinformationen der teilnehmenden Unternehmen an die Clients verteilt werden.
Standardnetzwerk S D
Standardnetzwerk und verschlüsselte E-Mails SD
Vorteile der Standardlösung Vorteile Kostengünstige Lösung, d.h. ohne Investition in Zusatzsoftware realisierbar Schnelle Realisierung möglich.
Nachteile der Standardlösung Nachteile Kein zentrales Contentfiltering möglich, weder bei Ein- noch Ausgang von E-Mails. Kein mehrstufiges Antivirenkonzept möglich, weder bei Ein- noch Ausgang von E-Mails. Probleme bei der Weiterleitung von verschlüsselten E-Mails unter Nutzung von Unified Messaging Solutions. Eine Stellvertreterregelung bedarf einer guten organisatorischen Planung im Vorfeld. Letzte Bastion ist der Desktop/Laptop des Users. Für jeden User ist mindestens ein Zertifikat notwendig. Roll out der teilnehmenden Partner CA Zertifikate ist notwendig. Roll out der Verzeichnisdienstinformationen der teilnehmenden Partner über alle Clients ist eventuell notwendig.
Mögliche Secure E-Mail Gateway - Lösungen Ende/Site zu Ende Sicherheit Entschlüsselung mit Userinteraktion Lösung A Entschlüsselung ohne Userinteraktion Lösung B Ende/Site zu Site Sicherheit Zentrale Entschlüsselung und digitale Signatur mit einem Unternehmenszertifikat Lösung C
Secure E-Mail Gateway Lösung A (1/4) Funktionsweise Verschlüsselte E-Mail wird an einem speziellem Gateway gespeichert. Header der E-Mail mit symmetrischen Schlüssel wird an Empfänger weitergleitet. Empfänger entschlüsselt den symmetrischen Schlüssel und verschlüsselt ihn an das Gateway erneut. Das Gateway entschlüsselt den symmetrischen Schlüssel und kann somit die E- Mail entschlüsseln. Das Gateway führt das Contentfiltering und Virusscanning in einer Blackbox durch. Wenn der Status OK ist, wird die E-Mail an den Empfänger weitergeleitet und erst auf dem Desktop/Laptop des Users wieder entschlüsselt.
Secure E-Mail Gateway Lösung A (2/4) SD
Secure E-Mail Gateway Lösung A (3/4) Vorteile Virusscanning und Contentfiltering ist möglich. Zweistufiges Virenkonzept kann realisiert werden.
Secure E-Mail Gateway Lösung A (4/4) Nachteile Proprietäre Lösung Roll out Client Plug-Ins für die Interaktion mit Gateway ist notwendig Investition für Plug-Ins und Gateway notwendig Probleme bei der Weiterleitung von verschlüsselten E-Mails bei Nutzung von Unified Messaging Solutions. Eine Stellvertreterregelung bedarf einer guten organisatorischen Planung im Vorfeld. Angriffspunkte sind das Gateway und die Datenübertragung zwischen Client und Gateway Für jeden User ist mindestens ein Zertifikat notwendig. Roll out der teilnehmenden Partner CA Zertifikate notwendig. Roll out der Verzeichnisdienstinformationen der teilnehmenden Partner über alle Clients ist eventuell notwendig.
Secure E-Mail Gateway Lösung B (1/4) Funktionsweise Die privaten Schlüssel der E-Mailempfänger werden in einer gesicherten Umgebung des Gateway bzw. zentral im Netzwerk gespeichert. Verschlüsselte E-Mail wird am Gateway entschlüsselt und Contentfiltering und Virusscanning in einer Blackbox ausgeführt. Wenn der Status OK ist, wird die E-Mail an den Empfänger weitergeleitet. Wird die E-Mail verschlüsselt weitergeleitet, dann wird sie erst auf dem Desktop/Laptop des Users wieder entschlüsselt. Die E-Mail kann auch unverschlüsselt weitergeleitet werden.
Secure E-Mail Gateway Lösung B (2/4) SD
Secure E-Mail Gateway Lösung B (3/4) Vorteile Virusscanning und Contentfiltering sind möglich. Zweistufiges Virenkonzept kann realisiert werden. Dreistufiges Virenkonzept (unverschlüsselte Weiterleitung der E-Mails) kann realisiert werden. Unified Messaging Solutions werden nicht behindert. Vertreterregelung kann realisiert werden.
Secure E-Mail Gateway Lösung B (4/4) Nachteile Speicherung der privaten Schlüssel an zentralen Punkt --> Angriffspunkt. Einsatz von auf Smart Cards / USB Token generierten und gespeicherten privaten Schlüsseln zur E-Mailverschlüsselung nicht möglich (nicht auslesbar). Gateway muss installiert werden - Investition Absender und Mitarbeiter sollten über den Einsatz der Technik informiert werden. Für jeden User mindestens ein Zertifikat notwendig Roll out der teilnehmenden Partner CA Zertifikate notwendig. Roll out der Verzeichnisdienstinformationen der teilnehmenden Partner über alle Clients ist eventuell notwendig.
Secure E-Mail Gateway Lösung C (1/4) Funktionsweise Absender verschlüsselt die E-Mail an den Empfänger unter Nutzung eines Unternehmenszertifikates des Empfängers. Verschlüsselte E-Mail wird am Gateway entschlüsselt und Contentfiltering und Virusscanning können ausgeführt werden. Wenn der Status OK ist, wird die E-Mail an den Empfänger unverschlüsselt weitergeleitet. E-Mails können zentral bzw. dezentral verschlüsselt und/oder signiert werden. Am Gateway kann ein umfangreiches Regelwerk für den Umgang mit E-Mails (verschlüsseln, signieren, Entfernen von Signaturen, Überprüfung von Signaturen, usw.) definiert werden.
Secure E-Mail Gateway Lösung C (2/4) SD
Secure E-Mail Gateway Lösung C (3/4) Vorteile Virusscanning und Contentfiltering sind möglich. Dreistufiges Virenkonzept (unverschlüsselte Weiterleitung der E-Mails) ist möglich. Definition eines umfangreichen Regelwerks ist möglich. Nur ein Unternehmenszertifikat ist notwendig. Alle ausgehenden E-Mails können mit einer Unternehmenssignatur versehen werden. Zentraler Administrationspunkt für Partner CA Zertifikate und Verzeichnisdienstinformationen (zentrale Verschlüsselung)
Secure E-Mail Gateway Lösung C (4/4) Nachteile Einsatz von auf Smart Cards / USB Token generierten und gespeicherten privaten Schlüsseln für E-Mailverschlüsslung nicht möglich. E-Mails werden vom Gateway zum E-Mailserver und von dort zum Desktop/Laptop unverschlüsselt übertragen. Probleme bei der Adressierung von E-Mails an den Empfänger sind bekannt. Keine fortgeschrittenen oder qualifizierte Signaturen mit dem Gateway möglich. Roll out der Verzeichnisdienstinformationen der teilnehmenden Partner über alle Clients ist eventuell notwendig (Verschlüsselung der E-Mails auf dem Client). Gateway muss angeschafft werden Investition
Common Practices Die Betrachtung der rechtlichen, politischen und geschäftlichen Aspekte sind für den Erfolg genauso wichtig, wie die technische Implementierung.
Best Practices Wie kann sichergestellt werden, dass der öffentliche Schlüssel aktuell zum zukünftigen Empfänger gelangt? Certificate Policies Certification Practice Statement Woher kann man wissen, dass der Empfänger die Infrastruktur und die verschlüsselten Dokumente schützen wird? Relying Party Agreement Bei einer großen Anzahl von Partnern sind eine Vielzahl von Bilateralen Abkommen möglich. Ist dies praktikabel? Multi-laterale Abkommen und Akzeptanz von Best Practices
Zusammenfassung I Einsatz von auf Standards basierenden Lösungen sind empfehlenswert. Einsatz von kommerzieller Software bzw. Open Source Produkten. Es gibt für (fast) jeden Anwendungsfall eine Lösung. Die Betrachtung der Organisation und der rechtlichen Aspekte sind für die erfolgreiche Nutzung von entscheidender Bedeutung.
Zusammenfassung II Voraussetzung Technik E-Mailsystem: S/MIME Client/Gateway: S/MIME, LDAPv3, X.509v3 Zertifikate X.509v3 Zertifikate: eigene CA oder Trustcenter Zertifikatsrepository: LDAPv3 Schnittstelle LDAPv3 und HTTP(s) Schnittstelle ins Internet Bereitstellung von CRLs via HTTP Optional: OCSP Server, LDAP Directory, OCSP Client
Zusammenfassung III Voraussetzung Organisation Einsatz von Kryptographie benötigt Policies und Richtlinien für Klassifizierung von Daten Umgang mit Daten und Datentransfer Virenschutz Einsatz von PKI CP und CPS Konzepte für Contentfiltering Zertifikats- und Schlüsselmanagement Access Daten Verwaltung für Verzeichnis- und Validierungsdienste Akzeptanz von Best Practices Relying Party Agreements Multilateral Agreements (Eventuell) Zustimmung von Geschäftsleitung Datenschutzbeauftragten Betriebsrat Mitarbeiter Beachtung rechtlicher Aspekte Digitaler Signatur Verschlüsselung
Weitere Informationen zur Thematik Toolkit der Secure Messaging Challenge: www.opengroup.org/messaging Bridge Infrastrukturen www.bridge-ca.org Allgemeine Informationen und zum LDAP-Proxy www.noventum.de
Fragen?
Kontaktinformation Stephan Wappler Consultant IT-Security noventum consulting GmbH Münsterstrasse 111 D-48155 Münster fon +49 (0) 25 06 / 93 02 0 fax +49 (0) 25 06 / 93 02 23 mobile + 49 (0) 163 / 493 02 74 stephan.wappler@noventum.de