Internet-Sicherheit (2) Teil 2: Schutz von E-Mail-Inhalten 11.11.2004 Internet-Sicherheit (2)
Internet-Sicherheit (2) Themen Warum E-Mail-Inhalte schützen? Wie funktioniert der Schutz von E-Mail-Inhalten? Manuelle kontra automatische Verschlüsselung Marktübersicht automatische Verschlüsselungslösungen Infos zum KT-Mail/Krypto-Gateway 11.11.2004 Internet-Sicherheit (2)
Der Referent: Wolfgang Redtenbacher Leiter der BSI/DATech-Arbeitsgruppe „Internet-Sicherheit“ (BSI = Bundesamt für Sicherheit in der Informationstechnik, DATech = Deutsche Akkreditierungsstelle für Technik) Mitglied der IETF-Arbeitsgruppen „Open PGP“ und „S/MIME“ (IETF = Internet Engineering Task Force) 11.11.2004 Internet-Sicherheit (2)
Warum E-Mail-Inhalte schützen? Das Internet ist ein freiwilliger Zusammenschluss von ca. 7 Mio. Knotenrechnern (Hosts) Jeder Betreiber eines Host kann E-Mails, die über ihn laufen, lesen (E-Mail = Postkarte) und verändern Die Absender-Kennung von E-Mails ist problemlos fälschbar 11.11.2004 Internet-Sicherheit (2)
Was ist an E-Mails ggf. schutzbedürftig? Vertraulichkeit Sicherheit vor Verfälschung Absendergarantie 11.11.2004 Internet-Sicherheit (2)
Wie wird dieser Schutz erreicht? Vertraulichkeit: Verschlüsselung (z.B. mit PGP) Verfälschungs-/Absenderschutz: Elektronische Signatur 11.11.2004 Internet-Sicherheit (2)
Konventionelle (symmetrische) Verschlüsselung 1 (geheimer) Schlüssel wird sowohl zum Ver- als auch zum Entschlüsseln verwendet, dadurch: Jedes Paar von E-Mail-Partnern braucht eigenen Schlüssel, der auf sicherem Weg (z.B. persönlichen Kurier) ausgetauscht werden muss 11.11.2004 Internet-Sicherheit (2)
Vorteil der asymmetrischen Verschlüsselung 1 Schlüsselpaar (privat + öffentlich) wirkt als „Gegenspieler“ beim Ver- und Entschlüsseln, dadurch: Nur 1 Schlüsselpaar pro Teilnehmer (statt Teilnehmerpaar) nötig Kein sicherer Kanal erforderlich, Integrität des öffentlichen Schlüssels kann am Telefon o.ä. über Quersumme („Fingerprint“) verifiziert werden 11.11.2004 Internet-Sicherheit (2)
Hürden bei manueller E-Mail-Verschlüsselung Zusatzaufwand für Endbenutzer beim Senden/Empfangen von E-Mails Bedienerfehler (Bekanngabe des privaten Schlüssels, mangelnde Verifikation des Partnerschlüssels, Vergessen des Verschlüsselns u.ä.) können Sicherheit unterlaufen => Ver-/Entschlüsseln oft besser zentral über Gateway-Lösung abwickeln 11.11.2004 Internet-Sicherheit (2)
Marktübersicht automatische PGP-Verschlüsselungslösungen GEAM (Open Source, Beta-Version) Z1 SecureMail Gateway (problematischer PGP-Schlüsselimport) CryptoEx Business Gateway Utimaco SecurE-Mail Gateway PGP Universal KT-Mail/Krypto-Gateway 11.11.2004 Internet-Sicherheit (2)
Arbeitsweise des KT-Mail/Krypto-Gateways Entschlüsselt eingehende E-Mails automatisch (inkl. Signaturprüfung) Verschlüsselt und/oder signiert ausgehende E-Mails automatisch an hinterlegte Empfänger Ist mit Ende-zu-Ende-Verschlüsselung kombinierbar 11.11.2004 Internet-Sicherheit (2)
Bild 1: Der Weg von verschlüsselten E-Mails (Eingangspost) lesbar verschlüsselt End- benutzer KT-Mail/ Gateway Verbindung zum Internet Bild 1: Der Weg von verschlüsselten E-Mails (Eingangspost)
Bild 2: Der Weg von verschlüsselten E-Mails (Ausgangspost) lesbar verschlüsselt End- benutzer KT-Mail/ Gateway Verbindung zum Internet Bild 2: Der Weg von verschlüsselten E-Mails (Ausgangspost)
Besonderheiten des KT-Mail/Krypto-Gateways Keine Änderung an den Arbeitsplätzen erforderlich Keine Schulung der Endbenutzer nötig Kein Zusatzaufwand der E-Mail-Nutzer zum Ver-/Entschlüsseln Hohe Interoperabilität: Kommt Schwächen anderer Krypto-Produkte entgegen/korrigiert sie automatisch 11.11.2004 Internet-Sicherheit (2)