Sichere E-Mail im E-Mail Marketing
Inxmail GmbH Vertrieb und Pflege des E-Mail Marketing Tools
Inxmail GmbH Vertrieb und Pflege des E-Mail Marketing Tools
Inxmail GmbH Vertrieb und Pflege des E-Mail Marketing Tools Werbekampagnen per E-Mail
Inxmail GmbH Vertrieb und Pflege des E-Mail Marketing Tools Werbekampagnen per E-Mail Aber auch Serviceleistungen per E-Mail. Beispiele: Newsletter, Mailinglisten, Diskussionsgruppen, etc
Inxmail GmbH Vertrieb und Pflege des E-Mail Marketing Tools Werbekampagnen per E-Mail Aber auch Serviceleistungen per E-Mail. Beispiele Newsletter, Mailinglisten, Diskussionsgruppen, etc Probleme: Spam und Phishing Mails
Phishing Mail
Aufgabenstellung Digitale Signatur als Mittel gegen Phishing
Aufgabenstellung Digitale Signatur als Mittel gegen Phishing Unterstützung von S/MIME
Aufgabenstellung Digitale Signatur als Mittel gegen Phishing Unterstützung von S/MIME Andere E-Mail Sicherheitsstandards? (PGP)
Aufgabenstellung Digitale Signatur als Mittel gegen Phishing Unterstützung von S/MIME Andere E-Mail Sicherheitsstandards? (PGP) Verschlüsselung zur Erschließung neuer Serviceangebote
Aufgabenstellung Digitale Signatur als Mittel gegen Phishing Unterstützung von S/MIME Andere E-Mail Sicherheitsstandards? (PGP) Verschlüsselung zur Erschließung neuer Serviceangebote Konzeption und Prototyp
E-Mail Sicherheitsstandards S/MIME (Secure Multipurpose Internet Mail Extension) PGP (Pretty Good Privacy)
E-Mail Sicherheitsstandards: Gemeinsamkeiten Verwendete Algorithmen weitgehend gleich für Signatur und Verschlüsselung
E-Mail Sicherheitsstandards: Gemeinsamkeiten Verwendete Algorithmen weitgehend gleich für Signatur und Verschlüsselung Hybrides Verschlüsselungsverfahren. Asymmetrische Verschlüsselung für Sessionkey, symmetrische Verschlüsselung für eigentlichen Inhalt
E-Mail Sicherheitsstandards: Gemeinsamkeiten Verwendete Algorithmen weitgehend gleich für Signatur und Verschlüsselung Hybrides Verschlüsselungsverfahren. Asymmetrische Verschlüsselung für Sessionkey, symmetrische Verschlüsselung für eigentlichen Inhalt Problem: Integre Schlüsselverteilung
E-Mail Sicherheitsstandards: Unterschiede S/MIME PGP Wird von den drei großen E-Mail Clients (Mozilla Thunderbird, Netscape Messenger, Outlook (/Express)) und den meisten anderen Clients unterstützt
E-Mail Sicherheitsstandards: Unterschiede S/MIME PGP Wird von den drei großen E-Mail Clients (Mozilla Thunderbird, Netscape Messenger, Outlook (/Express)) und den meisten anderen Clients unterstützt Wird von Mozilla Thunderbird und Outlook (/Express) und einigen anderen Clients mittels PlugIns unterstützt
E-Mail Sicherheitsstandards: Unterschiede S/MIME PGP Wird von den drei großen E-Mail Clients (Mozilla Thunderbird, Netscape Messenger, Outlook (/Express)) und den meisten anderen Clients unterstützt Wird von Mozilla Thunderbird und Outlook (/Express) und einigen anderen Clients mittels PlugIns unterstützt Funktioniert aber auch bei nicht unterstützten Clients
E-Mail Sicherheitsstandards: Unterschiede S/MIME PGP Wird von den drei großen E-Mail Clients (Mozilla Thunderbird, Netscape Messenger, Outlook (/Express)) und den meisten anderen Clients unterstützt Kommerzieller Hintergrund. Wird zumeist in der Industrie eingesetzt Wird von Mozilla Thunderbird und Outlook (/Express) und einigen anderen Clients mittels PlugIns unterstützt Funktioniert aber auch bei nicht unterstützten Clients
E-Mail Sicherheitsstandards: Unterschiede S/MIME PGP Wird von den drei großen E-Mail Clients (Mozilla Thunderbird, Netscape Messenger, Outlook (/Express)) und den meisten anderen Clients unterstützt Kommerzieller Hintergrund. Wird zumeist in der Industrie eingesetzt Wird von Mozilla Thunderbird und Outlook (/Express) und einigen anderen Clients mittels PlugIns unterstützt Funktioniert aber auch bei nicht unterstützten Clients Als Open Source Variante erhältlich (GnuPG) und in Ingenieurskreisen beliebt
E-Mail Sicherheitsstandards: Unterschiede S/MIME PGP Wird von den drei großen E-Mail Clients (Mozilla Thunderbird, Netscape Messenger, Outlook (/Express)) und den meisten anderen Clients unterstützt Kommerzieller Hintergrund. Wird zumeist in der Industrie eingesetzt Hierarchische PKI Wird von Mozilla Thunderbird und Outlook (/Express) und einigen anderen Clients mittels PlugIns unterstützt Funktioniert aber auch bei nicht unterstützten Clients Als Open Source Variante erhältlich (GnuPG) und in Ingenieurskreisen beliebt
E-Mail Sicherheitsstandards: Unterschiede S/MIME PGP Wird von den drei großen E-Mail Clients (Mozilla Thunderbird, Netscape Messenger, Outlook (/Express)) und den meisten anderen Clients unterstützt Kommerzieller Hintergrund. Wird zumeist in der Industrie eingesetzt Hierarchische PKI Wird von Mozilla Thunderbird und Outlook (/Express) und einigen anderen Clients mittels PlugIns unterstützt Funktioniert aber auch bei nicht unterstützten Clients Als Open Source Variante erhältlich (GnuPG) und in Ingenieurskreisen beliebt PKI: Web of Trust
Hierarchische PKI
Beispiel: S/MIME Zertifikat
Web of Trust
Anwendbarkeit von S/MIME im E-Mail Marketing Vorteile Nachteile Empfänger signierter Mails benötigt nur S/MIME fähigen E-Mail Client (Mehrzahl der Clients).
Anwendbarkeit von S/MIME im E-Mail Marketing Vorteile Nachteile Empfänger signierter Mails benötigt nur S/MIME fähigen E-Mail Client (Mehrzahl der Clients). Signatur ist auch für Laien leicht zu erkennen
Anwendbarkeit von S/MIME im E-Mail Marketing Vorteile Nachteile Empfänger signierter Mails benötigt nur S/MIME fähigen E-Mail Client (Mehrzahl der Clients). Signatur ist auch für Laien leicht zu erkennen Signatur der CA garantiert die Identität des Zertifikatsinhabers
Anwendbarkeit von S/MIME im E-Mail Marketing Vorteile Nachteile Empfänger signierter Mails benötigt nur S/MIME fähigen E-Mail Client (Mehrzahl der Clients). Signatur ist auch für Laien leicht zu erkennen Signatur der CA garantiert die Identität des Zertifikatsinhabers Einfache Bedienung: Signatur und Verschlüsselung per Checkbox
Anwendbarkeit von S/MIME im E-Mail Marketing Vorteile Nachteile Empfänger signierter Mails benötigt nur S/MIME fähigen E-Mail Client (Mehrzahl der Clients). Signatur ist auch für Laien leicht zu erkennen Signatur der CA garantiert die Identität des Zertifikatsinhabers Einfache Bedienung: Signatur und Verschlüsselung per Checkbox Automatische Entschlüsselung wenn privater Schlüssel vorhanden
Anwendbarkeit von S/MIME im E-Mail Marketing Vorteile Nachteile Empfänger signierter Mails benötigt nur S/MIME fähigen E-Mail Client (Mehrzahl der Clients). Signatur ist auch für Laien leicht zu erkennen Signatur der CA garantiert die Identität des Zertifikatsinhabers Einfache Bedienung: Signatur und Verschlüsselung per Checkbox Automatische Entschlüsselung wenn privater Schlüssel vorhanden „Glaubwürdige“ Zertifikate sind nur gegen Gebühren von etablierten Zertifizierungsstellen erhältlich
Anwendbarkeit von S/MIME im E-Mail Marketing Vorteile Nachteile Empfänger signierter Mails benötigt nur S/MIME fähigen E-Mail Client (Mehrzahl der Clients). Signatur ist auch für Laien leicht zu erkennen Signatur der CA garantiert die Identität des Zertifikatsinhabers Einfache Bedienung: Signatur und Verschlüsselung per Checkbox Automatische Entschlüsselung wenn privater Schlüssel vorhanden „Glaubwürdige“ Zertifikate sind nur gegen Gebühren von etablierten Zertifizierungsstellen erhältlich Trügerische Sicherheit: Testzertifikate von besagten Zertifizierungsstellen sind frei erhältlich und erwecken den Anschein von Vertrauenswürdigkeit
Anwendbarkeit von S/MIME im E-Mail Marketing Vorteile Nachteile Empfänger signierter Mails benötigt nur S/MIME fähigen E-Mail Client (Mehrzahl der Clients). Signatur ist auch für Laien leicht zu erkennen Signatur der CA garantiert die Identität des Zertifikatsinhabers Einfache Bedienung: Signatur und Verschlüsselung per Checkbox Automatische Entschlüsselung wenn privater Schlüssel vorhanden „Glaubwürdige“ Zertifikate sind nur gegen Gebühren von etablierten Zertifizierungsstellen erhältlich Trügerische Sicherheit: Testzertifikate von besagten Zertifizierungsstellen sind frei erhältlich und erwecken den Anschein von Vertrauenswürdigkeit Problem: Für jeden Empfänger von verschlüsselten Nachrichten muß ein Zertifikat vorhanden sein
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG)
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich Mit PlugIn automatische Entschlüsselung, wenn privater Schlüssel vorhanden
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich Mit PlugIn automatische Entschlüsselung, wenn privater Schlüssel vorhanden Funktioniert auch auf Clients, die PGP nicht unterstützen
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich Mit PlugIn automatische Entschlüsselung, wenn privater Schlüssel vorhanden Funktioniert auch auf Clients, die PGP nicht unterstützen Es muß zusätzliche Software installiert werden
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich Mit PlugIn automatische Entschlüsselung, wenn privater Schlüssel vorhanden Funktioniert auch auf Clients, die PGP nicht unterstützen Es muß zusätzliche Software installiert werden Trust Settings weitgehend willkürlich. Für Laien zu kompliziert
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich Mit PlugIn automatische Entschlüsselung, wenn privater Schlüssel vorhanden Funktioniert auch auf Clients, die PGP nicht unterstützen Es muß zusätzliche Software installiert werden Trust Settings weitgehend willkürlich. Für Laien zu kompliziert Funktioniert nicht für HTML Mails
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich Mit PlugIn automatische Entschlüsselung, wenn privater Schlüssel vorhanden Funktioniert auch auf Clients, die PGP nicht unterstützen Es muß zusätzliche Software installiert werden Trust Settings weitgehend willkürlich. Für Laien zu kompliziert Funktioniert nicht für HTML Mails Signierte Testmails durch ASCII Header „entstellt“
PGP Signatur (ohne PlugIn)
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich Mit PlugIn automatische Entschlüsselung, wenn privater Schlüssel vorhanden Funktioniert auch auf Clients, die PGP nicht unterstützen Es muß zusätzliche Software installiert werden Trust Settings weitgehend willkürlich. Für Laien zu kompliziert Funktioniert nicht für HTML Mails Signierte Testmails durch ASCII Header „entstellt“ Web of Trust für E-Mail Marketing nicht geeignet
Anwendbarkeit von PGP im E-Mail Marketing Vorteile Nachteile Jeder kann seine eigenen Schlüssel erstellen Als Open Source erhältlich (GnuPG) Mit PlugIn ähnlich benutzerfreundlich wie S/MIME Mit PlugIn Signatur leicht erkenntlich Mit PlugIn automatische Entschlüsselung, wenn privater Schlüssel vorhanden Funktioniert auch auf Clients, die PGP nicht unterstützen Es muß zusätzliche Software installiert werden Trust Settings weitgehend willkürlich. Für Laien zu kompliziert Funktioniert nicht für HTML Mails Signierte Testmails durch ASCII Header „entstellt“ Web of Trust für E-Mail Marketing nicht geeignet Signierte Mails enthalten nicht zwangsläufig den öffentlichen Schlüssel
Verschlüsselung mit S/MIME im Massenversand Empfängerzahlen für Mailings im E-Mail Marketing gehen in die Tausende
Verschlüsselung mit S/MIME im Massenversand Empfängerzahlen für Mailings im E-Mail Marketing gehen in die Tausende Jeder Empfänger benötigt ein S/MIME Zertifikat
Verschlüsselung mit S/MIME im Massenversand Empfängerzahlen für Mailings im E-Mail Marketing gehen in die Tausende Jeder Empfänger benötigt ein S/MIME Zertifikat Problem: Wer bezahlt die Zertifikate?
Verschlüsselung mit S/MIME im Massenversand Empfängerzahlen für Mailings im E-Mail Marketing gehen in die Tausende Jeder Empfänger benötigt ein S/MIME Zertifikat Problem: Wer bezahlt die Zertifikate? Lösung: Aufbau einer eigenen PKI
PKI Entwurf Vorgabe: Alles soll als Modul für die Inxmail Software programmiert werden
PKI Entwurf Vorgabe: Alles soll als Modul für die Inxmail Software programmiert werden Damit die Wirtschaftlichkeit gewahrt bleibt, müssen die Kosten möglichst gering gehalten werden
PKI Entwurf Vorgabe: Alles soll als Modul für die Inxmail Software programmiert werden Damit die Wirtschaftlichkeit gewahrt bleibt, müssen die Kosten möglichst gering gehalten werden Java Krypto-Bibliothek (Open Source): Bouncy Castle
PKI Entwurf Vorgabe: Alles soll als Modul für die Inxmail Software programmiert werden Damit die Wirtschaftlichkeit gewahrt bleibt, müssen die Kosten möglichst gering gehalten werden Java Krypto-Bibliothek (Open Source): Bouncy Castle Datenbank: MySQL
PKI Entwurf Vorgabe: Alles soll als Modul für die Inxmail Software programmiert werden Damit die Wirtschaftlichkeit gewahrt bleibt, müssen die Kosten möglichst gering gehalten werden Java Krypto-Bibliothek (Open Source): Bouncy Castle Datenbank: MySQL Server: Apache Tomcat
Funktionen der PKI Erstellung von Zertifikaten nach Überprüfung der E-Mail Adresse durch Testmail (Zuordnung zwischen Adresse und angeblichem Inhaber wird nicht überprüft!)
Funktionen der PKI Erstellung von Zertifikaten nach Überprüfung der E-Mail Adresse durch Testmail (Zuordnung zwischen Adresse und angeblichem Inhaber wird nicht überprüft!) Speicherung des öffentlichen Teils des Zertifikats (PKCS#7) in der Datenbank mit Statusflag (gültig, widerrufen)
Funktionen der PKI Erstellung von Zertifikaten nach Überprüfung der E-Mail Adresse durch Testmail (Zuordnung zwischen Adresse und angeblichem Inhaber wird nicht überprüft!) Speicherung des öffentlichen Teils des Zertifikats (PKCS#7) in der Datenbank mit Statusflag (gültig, widerrufen) Rootzertifikat als Download
Funktionen der PKI Erstellung von Zertifikaten nach Überprüfung der E-Mail Adresse durch Testmail (Zuordnung zwischen Adresse und angeblichem Inhaber wird nicht überprüft!) Speicherung des öffentlichen Teils des Zertifikats (PKCS#7) in der Datenbank mit Statusflag (gültig, widerrufen) Rootzertifikat als Download Überprüfungsmöglichkeiten für Zertifikate nach E-Mail Adresse und Seriennummer
Funktionen der PKI Erstellung von Zertifikaten nach Überprüfung der E-Mail Adresse durch Testmail (Zuordnung zwischen Adresse und angeblichem Inhaber wird nicht überprüft!) Speicherung des öffentlichen Teils des Zertifikats (PKCS#7) in der Datenbank mit Statusflag (gültig, widerrufen) Rootzertifikat als Download Überprüfungsmöglichkeiten für Zertifikate nach E-Mail Adresse und Seriennummer Widerruf für Zertifikate nach Überprüfung durch Testmail
Funktionen der PKI Erstellung von Zertifikaten nach Überprüfung der E-Mail Adresse durch Testmail (Zuordnung zwischen Adresse und angeblichem Inhaber wird nicht überprüft!) Speicherung des öffentlichen Teils des Zertifikats (PKCS#7) in der Datenbank mit Statusflag (gültig, widerrufen) Rootzertifikat als Download Überprüfungsmöglichkeiten für Zertifikate nach E-Mail Adresse und Seriennummer Widerruf für Zertifikate nach Überprüfung durch Testmail Entgegen des X.509v3 Standards keine Widerrufslisten
Fazit Für den spezifischen Hintergrund des E-Mail Marketing ist S/MIME besser geeignet. Aber: GnuPG entwickelt sich rasend weiter. In Zukunft mag sich dieses Verhältnis noch ändern. Neuere Entwicklung: Hybride PKIs.
Fazit Für den spezifischen Hintergrund des E-Mail Marketing ist S/MIME besser geeignet. Aber: GnuPG entwickelt sich rasend weiter. In Zukunft mag sich dieses Verhältnis noch ändern. Neuere Entwicklung: Hybride PKIs. Digitale Signatur als Mittel gegen Phishing Mails ist mit Vorsicht zu genießen. Es funktioniert, aber nur, wenn die Empfänger sich die Zeit nehmen, das Zertifikat auch zu überprüfen.
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers Gehalt
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers Gehalt Persönliche Erfahrung
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers Gehalt Persönliche Erfahrung Kontakte
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers Gehalt Persönliche Erfahrung Kontakte Zusätzlicher Organisationsaufwand
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers Gehalt Persönliche Erfahrung Kontakte Zusätzlicher Organisationsaufwand Verpflichtungen gegenüber dem Auftraggeber
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers Gehalt Persönliche Erfahrung Kontakte Zusätzlicher Organisationsaufwand Verpflichtungen gegenüber dem Auftraggeber Eingeschränkte Spielwiese
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers Gehalt Persönliche Erfahrung Kontakte Zusätzlicher Organisationsaufwand Verpflichtungen gegenüber dem Auftraggeber Eingeschränkte Spielwiese Teilweise Ablenkung durch andere Aufgaben
Uni-externe Diplomarbeiten Vorteile Nachteile Praxiserfahrung Stärkeres Interesse an einer erfolgreichen Diplomarbeit seitens des Auftraggebers Gehalt Persönliche Erfahrung Kontakte Zusätzlicher Organisationsaufwand Verpflichtungen gegenüber dem Auftraggeber Eingeschränkte Spielwiese Teilweise Ablenkung durch andere Aufgaben Risiko (Firma geht Pleite, Firma ändert kurzfristig Anforderungen etc.)
Ende