E-Mail Verschlüsselung - ITEK - ETH Zürich
E-Mail Verschlüsselung - ITEK - ETH Zürich
E-Mail Verschlüsselung - ITEK - ETH Zürich
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Informatikdienste / IT-Services<br />
E-<strong>Mail</strong> <strong>Verschlüsselung</strong><br />
<strong>ITEK</strong>-Fokus vom 5. April 2006<br />
Teilnehmer<br />
Urs Meile (ID-KOM) – Leitung<br />
Christoph Graph (Switch), Franz Kuster (ID-Helpdesk), Franz Koch<br />
(ID-KOM), Stephen Sheridan (ID-KOM), Armin Brunner (ID-KOM),<br />
Thomas Richter (ISL D-GESS), Hanspeter Scherbel (ISL D-MATH),<br />
Elmar Heeb (ISL D-PHYS), Luca Previtali (ISL D-INFK), Fritz<br />
Zaucker (ISL D-ITET), Michele Marchionelli (ISG D-MATH), Dani<br />
Wunderli (ID-BD)<br />
Roland Dietlicher (ID-BD) -Protokoll<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
Ausgangslage BOT<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
2. Abschnitt: Zuständigkeiten<br />
Artikel 4 Infrastrukturbereich Informatik<br />
1Der Infrastrukturbereich Informatik (IB-Informatik) der <strong>ETH</strong> <strong>Zürich</strong> ist<br />
insbesondere zuständig für:<br />
…<br />
e) die Bereitstellung der notwendigen <strong>Verschlüsselung</strong>stechniken (Art. 13<br />
Abs. 2);<br />
Artikel 13 Nutzung elektronischer Kommunikationsmittel<br />
2Das Versenden von Berufs-, Amts- und Geschäftsgeheimnissen oder<br />
anderen vertraulichen Informationen (z.B. aus Personalakten) aus<br />
dem Bereich der <strong>ETH</strong> <strong>Zürich</strong> mittels elektronischen<br />
Kommunikationsmitteln darf nur mit geeigneter<br />
<strong>Verschlüsselung</strong>stechnik erfolgen.<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
1
Ausgangslage BOT<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
Artikel 15 Besondere Sicherheitsmassnahmen<br />
1Anwendungen oder Systeme mit erhöhtem Schutzbedarf sind solche<br />
mit Daten, deren Verlust die gesetzlichen Zwecke der <strong>ETH</strong> <strong>Zürich</strong><br />
wesentlich beeinträchtigen oder bedeutende<br />
Wiederherstellungskosten verursachen.<br />
2Anwendungen oder Systeme mit erhöhtem Schutzbedarf müssen mit<br />
verschärften Mitteln gegen den Zugriff durch Unbefugte geschützt<br />
werden. Dies betrifft sowohl den Zugang zu Applikationen und Daten<br />
als auch den physischen Zugriff zu den Rechnern selber.<br />
3Zugangsberechtigungsmittel und Identifikationsmethoden wie<br />
Passwörter, PINs, Chip-Karten, physische Schlüssel, Tokens etc. sind<br />
vertraulich zu behandeln. Insbesondere sind bei erhöhtem<br />
Schutzbedarf folgende Punkte situationsgerecht anzuwenden:<br />
…<br />
e) Datenschutz durch <strong>Verschlüsselung</strong> der Datenübermittlung;<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
Programm<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
TEIL 1: Praktikable Lösungsansätze für Kleingruppen<br />
- GNU Privacy Guard / PGP [Elmar Heeb]<br />
- S/MIME mit X.509 Host basiert [Franz Koch]<br />
Statement: SWITCH zur <strong>Verschlüsselung</strong>sthematik auf nationaler Ebene<br />
[SWITCH]<br />
TEIL 2: Ansätze für flächendeckende Lösungen<br />
ohne Userzertifikate<br />
- single Server [Steve Sheridan]<br />
- some Servers zB. SWITCH-Members [SWITCH]<br />
mit Userzertifikaten<br />
- zentrales Deployment und Management von Userzertifikaten [Daniel<br />
Wunderli]<br />
- Gateway <strong>Verschlüsselung</strong> für User transparent [Armin Brunner]<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
2
Arten der <strong>Verschlüsselung</strong><br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• Inhalt verschlüsseln<br />
– GnuPG (PGP)<br />
– S/MIME<br />
• Zertifizierungsstelle (Bsp. Verisign, SwissSign) betreibt eine<br />
sog. PKI (public key infrastructure).<br />
• Deployment/Management über zentrale Instanz (<strong>ETH</strong>), Bsp.<br />
AD<br />
– <strong>Verschlüsselung</strong>s-Server à la Bundesverwaltung mit Up-<br />
/Download-Möglichkeit<br />
• Transport verschlüsseln mit Maschinenzertifikaten<br />
(SSL)<br />
– Problem: Der ganze Weg muss verschlüsselt sein auch<br />
10.5.06 :: Roland zwischen Dietlicher, Basisdienste <strong>Mail</strong>servern Austausch von Zertifikaten<br />
Zertifikate<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• Zertifikat: Der Nachweis, dass ein öffentlicher Schlüssel (public key)<br />
eines asymmetrischen <strong>Verschlüsselung</strong>s-Verfahrens zu der<br />
vorgeblichen Person, Institution oder Maschine gehört.<br />
• Herausgeber:<br />
– Zertifizierungsstelle (X.509), hierarchisch<br />
– selbst gemacht, „Web of Trust“ (PGP)<br />
• Eigenschaften: Name des Inhabers, dessen öffentlicher Schlüssel,<br />
Seriennummer, Gültigkeitsdauer, Zertifizierungsstelle.<br />
• Sperrliste (revocation list) enthält ungültige, kompromittierte<br />
Zertifikate.<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
3
Asymmetrisches <strong>Verschlüsselung</strong>s-Verfahren<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
Verschlüsseln:<br />
Klartext verschlüsseln mit dem „Public Key“ des<br />
Adressaten verschlüsselter Text.<br />
Entschlüsseln:<br />
Verschlüsselter Text entschlüsseln mit dem eigenen<br />
„Private Key“ Klartext.<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
PKI<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• Digitale Zertifikate ausstellen, verteilen, prüfen.<br />
• Zertifizierungsstelle (CA)<br />
• Registrierungsstelle (RA)<br />
• Sperrliste (CRL)<br />
• Verzeichnisdienst<br />
• Validierungsdienst<br />
• Dokumente/Policies<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
4
GnuPG: Gnu Privacy Guard<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• OpenPGP-Standard nach RFC 2440<br />
• „Web of Trust“ durch gegenseitiges Signieren der<br />
selbsterzeugten Schlüssel (Key Signing Party)<br />
• über eine Zertifizierungsstelle (CA), z.B. heise.de oder<br />
DFN (Deutsches Forschungsnetz) zertifizierte<br />
Schlüssel<br />
• Keyserver für die Publikation von Public Keys<br />
• Überprüfen des Public Key mit dem sog. Fingerprint =<br />
Hashwert des Public Key<br />
• PlugIns für die meisten <strong>Mail</strong>clients verfügbar<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
S/MIME (secure/multipurpose internet mail extension)<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• X.509 basierend<br />
• benötigt zwingend eine vertrauenswürdige<br />
Zertifizierungsinstanz (CA)<br />
• hierarchische Struktur: CA Sub CA …<br />
• nicht kompatibel mit openPGP-Standard<br />
• nur eine Unterschrift (CA) im Gegensatz zu PGP<br />
• LDAP für die Ablage von Public Keys<br />
• Native unterstützt durch die meisten <strong>Mail</strong>clients<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
5
Probleme mit User-Zertifikaten/-Schlüsseln<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• Alles funktioniert bestens! Und das schon seit einiger Zeit!<br />
– wenn man weiss wie <br />
• Individuelle Ablage der Private Keys/PGP-Schlüssel?<br />
– nur zugänglich für Besitzer<br />
– permanent, über lange Zeitdauer<br />
– Verlust Datenverlust<br />
• Bei Verlust: Eintrag in Revocation List<br />
– habe ich ihn verloren?<br />
– wie geht das?<br />
• Gültigkeits-Checks<br />
– müsste man das auch machen?<br />
• Bei verschlüsselten <strong>Mail</strong>s<br />
– keine Spam-/Viren-Filter<br />
– Archivierung?<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
Lösungsansätze für Kleingruppen<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• verschlüsselter Datenaustausch<br />
– über eine „beschränkte Zeitdauer“<br />
– GnuPG (Key Signing Party)<br />
– SwissSign-Bronze (E-<strong>Mail</strong>)-Zertifikate<br />
• laufen nach 1 Jahr ab, erneuern neuer Schlüssel<br />
– Ausblick: SWITCH AAI Ausbau auf X.509 zur Ausstellung<br />
von Zertifikaten<br />
• Daten auf Empfängerseite entschlüsselt speichern <br />
sichere Ablage?!<br />
• Gibt es überhaupt einen Bedarf (an der <strong>ETH</strong>)?<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
6
Flächendeckende Lösungen<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• Verschlüsselte Verbindungen zum gemeinsamen<br />
<strong>Mail</strong>server<br />
– die meisten Clients und Server unterstützen das<br />
• Verschlüsselte Verbindungen zwischen Clients über<br />
verschiedene Server<br />
– SSMTP nur für dedizierte Server-Verbindungen<br />
– SWITCH als Mittler für Hochschulen<br />
• Zentrales Deployment von User-Zertifikaten am Bsp.<br />
Active Directory (AD als PKI)<br />
– Computer und User im AD Vollautomatisch<br />
– zentrale Stelle kann entschlüsseln, filtern, Klartext<br />
archivieren<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
Flächendeckende Lösungen<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• Gateway <strong>Verschlüsselung</strong><br />
– Ein Gateway-Server übernimmt die Ver- und<br />
Entschlüsselung der E-<strong>Mail</strong>.<br />
– Filter möglich<br />
– Unbekannter externer Adressat:<br />
• antwortet mit signierter <strong>Mail</strong>, falls Zertifikat vorhanden<br />
• andernfalls: registriert sich am Webmail-Interface<br />
• oder erhält ein Zertifikat<br />
– Verschlüsselte Antworten gelangen über den Gateway,<br />
werden entschlüsselt und dem ursprünglichen Absender<br />
zugestellt.<br />
– Funktioniert vereinfacht auch für interne Adressaten<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
7
Totemo: Trust<strong>Mail</strong> Secure Email Gateway<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• No plug-in or software installed on the internal user side<br />
• No plug-in or software installed on recipient side<br />
• Internal users can spontaneously communicate with anybody<br />
• Central definition of security policies possible<br />
• Flexibility on recipient side (support both S/MIME and PGP communication)<br />
• Central server-based content and virus checking still possible<br />
• Messages can be protected inside and outside of the company network<br />
• Not based on proprietary concepts, but on established standards<br />
• Take advantage of the native email encryption functionality available in email<br />
clients<br />
• No manual issuance or renewal of keys<br />
• High degree of automation to limit administration needs<br />
• Connectors to Active Directory or LDAP directories, external certificate authorities,<br />
etc.<br />
• Investment protection: it should be possible to upgrade the solution if necessary to<br />
support security tokens, HSMs (hardware security modules), Smartcards, fully<br />
qualified signatures, dual keying, Blackberry devices, etc.<br />
• http://www.totemo.ch/secure_email_white_papers.html<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
Schlussfolgerungen?!<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
• Wie war das nochmals mit der BOT?<br />
– „Bereitstellung der notwendigen <strong>Verschlüsselung</strong>stechniken“<br />
– man darf vertrauliche Informationen elektronisch nur<br />
verschlüsselt verschicken<br />
– Für Datenschutz durch verschlüsselte Übermittlung sorgen.<br />
• Was müssen wir nun tun?<br />
– nichts <br />
– Link auf SwissSign, resp. GnuPG<br />
– SSL-Verbindungen zu unseren <strong>Mail</strong>servern<br />
• Was dürfen wir uns das kosten lassen?<br />
– Totemo Trust<strong>Mail</strong>-Server = Fr. xy<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
8
Weiterführende Informationen<br />
E-<strong>Mail</strong>-<strong>Verschlüsselung</strong><br />
http://de.wikipedia.org/wiki/GNU_Privacy_Guard<br />
http://de.wikipedia.org/wiki/S/MIME<br />
http://www.kes.info/archiv/online/01-01-60-<br />
SMIMEvsOpenPGP.htm<br />
http://rfc.net/rfc1847.html<br />
http://www.ietf.org/rfc/rfc2459.txt<br />
http://www.totemo.ch/secure_email_white_papers.html<br />
http://www.heise.de/security/dienste/pgp/<br />
http://www.swisssign.ch/<br />
10.5.06 :: Roland Dietlicher, Basisdienste<br />
9