Email Verschlüsselung mit S/MIME CA & public / private Key

Share

Asymmetrische E-Mail Verschlüsselung mit S/MIME - Secure Multipurpose Internet Mail Extensions

Die Email Protection der Sophos UTM Astaro verschlüsselt Mails mit einer
Email encryption certificate authority (CA), offiziell gültig oder

auch selbst erstellt. Das Verfahren ist asymmetrisch, d.h. es wird mit einem pulic Key verschlüsselt und dem private Key entschlüsselt. Der public Key wird also bekannt gegeben.

 

S/MIME ( Secure Multipurpose Internet Mail Extensions) is a standard for asymmetric encryption and the signing of emails encapsulated in MIME.
It is typically used within a public key infrastructure (PKI) and is based on a hierarchical structure of digital certificates, requiring a trusted instance as Certificate Authority (CA). The CA issues a digital certificate by binding an identity to a pair of electronic keys; this can be seen as a digital counterpart to a traditional identity document suchas a passport. Technically speaking, the CA issues a certificate binding a public key to a particular Distinguished Name in the X.500 standard, or to an Alternative Name such as an email address.
From: Sophos UTM Administration Guide

 

Wenn in der Sophos UTM die Encryption aktiviert ist, die S/MIME CA erstellt wurde und der Email-User A angelegt ist, dann wird bei jeder Mail, die der User A versendet der public Key der S/MINE-CA (public S/MIME Zertifikat) des Users A angehangen.
Diese Zertifikate kann dann der Empfänger B nutzten, um in Zukunft Mails an diesen User A verschlüsselt mit dem public Key (+Einwegpasswort) zurück zu senden. In der UTM des Users A wird diese verschlüsselte Mail dann mit den private Key decodiert. Voraussetzung dafür ist aber, das die CA des Users A beim Empfänger B als gültig anerkennt wird, das muss der Empfänger B bei selbstsignieren CA und  S/MIME Zertifikaten manuell machen, ansonsten macht die Sophos UTM das automatisch.
Wenn der Empfänger B dann die Mail verschlüsselt an den User A sendet, kann dessen UTM -wenn vorhanden- auch wieder den public Key der CA und das S/MIME Zertifikat des Empfängers B anhängen und der User A kann dann wiederum auch an Empfänger B verschlüsselt senden.
So ist der verschlüsselte E-Mail Austausch zwischen 2 UTMs relataiv einfach möglich, lediglich der jeweilige public Key der andere CA muss in die eigene UTM importiert werden, danach werden alle Mailzertifikate die mit dieser CA erstellt wurden automatisch zusammen mit der E-Mail Adresse hinterlegt.

 

Kurz zusammengefasst:

Der public Key von A wird genutzt, um an A mit diesem public Key (+ Einwegpasswort) verschlüsselte Mails zu senden.
A entschlüsselt diese Mails mit seinem private Key.
A selber versendet keine verschlüsselten Mails.

Außer:
A kennt den public Key des Mailempfängers B, dann verschlüsselt A die Mails an B mit mit diesem public Key (+ Einwegpasswort).
B
 entschlüsselt diese Mails mit seinem private Key.

Fazit:
Email Verschlüsslung ist also nur sinnvoll einsetzbar, wenn beide Seiten diese nutzen und wenn Sie bei allen Mails eingesetzt wird. Deshalb sollte man alle Email über einen Smarthost (z.B. Sophos UTM) laufen lassen, da sonst die Verschlüsselung einfach umgangen werden kann. Vor der Implementierung einer solchen Sicherheitslösung steht immer die Einrichtung von

SPF
DKIM
DMARC

Bei Fragen gerne mailen :)

Münster AD 2014

Share