Aufbau und Nutzung einer PKI zur sicheren Kommunikation in einer Notes/Domino Umgebung Eine praktische Betrachtung Achim N...
Darstellung der Ist-Situation <ul><li>Domino-Infrastruktur für interne und externe e-Mail </li></ul><ul><li>Externe e-Mail...
Aufgabenstellung <ul><li>Der Austausch von E-Mails ist im Geschäftsleben seit langem fester Bestandteil der täglichen Arbe...
Die benötigten Komponenten <ul><li>Elektronische Schlüssel (Treibstoff) </li></ul><ul><ul><li>zwecks Signatur => Absicheru...
Ein Blick auf die elektronischen Schlüssel  (Treibstoff) <ul><li>Die Ver- und Entschlüsselung sollte idealerweise asymmetr...
Die Qual der Wahl  (Benzin oder Diesel) <ul><li>Es stehen verschiedene Schlüsseltypen zur Verfügung </li></ul><ul><ul><li>...
Gegenüberstellung bzw. Eigenschaften der Zertifikatstypen <ul><li>X.509-Zertifikate </li></ul><ul><ul><li>Hierarchisches K...
Die do-it-yourself-Lösung (H)erstellung eigener Zertifikate (PKI) <ul><li>Aufbau einer eigenen Public Key Infrastructure d...
Vorteile der eigenen PKI-Lösung <ul><li>Die Hoheit über sämtliche diesbezüglichen Prozesse sind in eigener Hand </li></ul>...
Nachteile der eigenen PKI-Lösung <ul><li>Erhebliche Nachteile beim E-Mail-Austausch mit Externen (Interoperabilität) </li>...
Der Lösungsansatz für die Behebung der Nachteile einer eigenen PKI  „European Bridge CA“ als Workaround (http://www.bridge...
Die Bedeutung der European Bridge CA (Genossenschaft der Bio-Diesel-Selbstversorger) <ul><li>… ergibt sich beim Blick in d...
Die Alternative zur eigenen PKI ist die Verwendung öffentlicher Zertifikate <ul><li>Herausgeber ist ein öffentliches (akkr...
Mittels getrusteter Zertifikate wäre die reine Lehre möglich => Ende-zu-Ende-Verschlüsselung <ul><li>Vorteil </li></ul><ul...
Der Durchbruch -  die virtuelle Poststelle –
Der Bankenverband hat sich für das Julia MailOffice entschieden und wie folgt eingebunden: <ul><li>Jede Komponente ist red...
Vorteile einer virtuellen Poststelle <ul><li>Die virtuelle Poststelle ist vergleichbar mit einer Firewall, da zentraler Ko...
Was ist seither geschehen? <ul><li>Der Bankenverband will praktische Erfahrungen zum Thema „Sichere E-Mail“ sammeln (Führe...
Nachteil: Das Auto steht in der Garage, weil der Treibstoff zu teuer ist <ul><li>Der Bezug öffentlicher Zertifikate inklus...
Das „Treibstoff-Problem“
Projekt Managed PKI <ul><li>Synthese zwischen Betrieb der eigener PKI und der Nutzung eines öffentlichen Trustcenters </li...
Aufbau der Managed PKI <ul><li>Zweistufige Hierarchie der Registration Officer (RO) </li></ul><ul><li>„ Super Registration...
Antragsprozess <ul><li>SRO Zertifikat: </li></ul><ul><ul><li>Antrag bei SignTrust </li></ul></ul><ul><ul><li>PostIdent Ver...
Rechte der Registration Officer <ul><li>Super Registration Officer: </li></ul><ul><ul><li>Kann RO identifizieren, Antrag f...
Schlüssel- generierung Zertifikats- beantragung 1 2 Zertifikate  empfangen &  installieren ! Virtuelle Poststelle RO SignT...
Managed PKI @ Bankenverband <ul><li>Bankenverband stellt SignTrust via Julia Mailgateway die für die Erzeugung von Zertifi...
Ende gut – alles gut!? <ul><li>Ziel: “Rundumsorglospaket” mit fest definierten Kosten für Anschaffung, Einrichtung und lau...
Treibstoff vorhanden? <ul><li>Managed PKI wird den Treibstoff kostengünstig machen </li></ul><ul><ul><li>Zertifikatspreise...
<ul><li>Es gibt Hoffnung für das Treibstoffproblem. </li></ul><ul><li>Für Ihr Interesse danken Achim Nowak und Alexander K...
Nächste SlideShare
Wird geladen in …5
×

Aufbau einer PKI in einer Domino Umgebung

3.297 Aufrufe

Veröffentlicht am

Kommunikation via E-Mail ist heute das meist genutzte Informationsmedium. Die Zuverlässigkeit und Sicherheit der E-Mail-Dienste ist für alle Unternehmen und Behörden unternehmenskritisch. Gerade im Bereich der E-Mail-Sicherheit haben viele Unternehmen heute noch nicht auf die Herausforderungen des Internets reagiert. Authentizität und Integrität der übermittelten Nachrichten werden in den meisten Fällen nicht in Frage gestellt – mit oft verheerenden Folgen.

Der Bankenverband hat sich diesen Herausforderungen gestellt und mit Hilfe der XCOM AG eine Gateway Lösung zur Verschlüsselung und Signatur des elektronischen Geschäftsverkehrs in seine Lotus Domino Umgebung implementiert.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
3.297
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
59
Aktionen
Geteilt
0
Downloads
0
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie
  • Aufbau einer PKI in einer Domino Umgebung

    1. 1. Aufbau und Nutzung einer PKI zur sicheren Kommunikation in einer Notes/Domino Umgebung Eine praktische Betrachtung Achim Nowak (Bundesverband deutscher Banken) Alexander Kluge (XCOM AG)
    2. 2. Darstellung der Ist-Situation <ul><li>Domino-Infrastruktur für interne und externe e-Mail </li></ul><ul><li>Externe e-Mail ist unverschlüsselt über SMTP-Gateway </li></ul><ul><li>Erhöhte Sicherheitsanforderungen als Sachzwang </li></ul><ul><li>Vorbildfunktion in der Rolle als Verband </li></ul><ul><li>Situation der Kommunikationspartner </li></ul><ul><ul><li>(Henne-Ei-Prinzip als Bestandteil der Gesamtdiskussion) </li></ul></ul>
    3. 3. Aufgabenstellung <ul><li>Der Austausch von E-Mails ist im Geschäftsleben seit langem fester Bestandteil der täglichen Arbeit </li></ul><ul><li>Der Diskretionsgrad ist dabei vergleichbar dem einer Postkarte </li></ul><ul><li>Daraus resultiert die Anforderung, die Vertraulichkeit von e-Mails durch elektronische Signatur und Verschlüsselung zu erhöhen </li></ul>
    4. 4. Die benötigten Komponenten <ul><li>Elektronische Schlüssel (Treibstoff) </li></ul><ul><ul><li>zwecks Signatur => Absicherung gegen Verfälschung </li></ul></ul><ul><ul><li>und Verschlüsselung => Absicherung gegen Ausspähen </li></ul></ul><ul><li>Ein Mail-System, das elektronische Schlüssel und die damit verbundenen Funktionen verwenden kann (Auto) </li></ul><ul><li>Organisatorische Regeln und Maßnahmen (Straßenverkehrsordnung) </li></ul><ul><li>Wissen (Führerschein) </li></ul>
    5. 5. Ein Blick auf die elektronischen Schlüssel (Treibstoff) <ul><li>Die Ver- und Entschlüsselung sollte idealerweise asymmetrisch erfolgen </li></ul><ul><ul><li>Ein Schlüsselpaar pro Person, bestehend aus einem öffentlichen und einem privaten Schlüssel </li></ul></ul><ul><li>Das Schlüsselpaar sollte zertifiziert sein </li></ul><ul><ul><li>Ein Zertifikat soll die Glaubwürdigkeit des Schlüsselpaares unter Beweis stellen </li></ul></ul>
    6. 6. Die Qual der Wahl (Benzin oder Diesel) <ul><li>Es stehen verschiedene Schlüsseltypen zur Verfügung </li></ul><ul><ul><li>Die bekanntesten sind X.509 bzw. OpenPGP </li></ul></ul><ul><li>Mit der Auswahl werden Weichen mit weitreichenden Folgen gestellt für: </li></ul><ul><ul><li>Die benötigte Infrastruktur </li></ul></ul><ul><ul><li>Die erforderlichen Verfahrensrichtlinien (Policies) </li></ul></ul><ul><ul><li>Die gewünschte Interoperabilität </li></ul></ul><ul><li>Was wird sich als der Defacto-Standard in der Geschäftswelt durchsetzen? </li></ul><ul><ul><li>Investitionssicherheit </li></ul></ul>
    7. 7. Gegenüberstellung bzw. Eigenschaften der Zertifikatstypen <ul><li>X.509-Zertifikate </li></ul><ul><ul><li>Hierarchisches Konzept mit Certificate Authority (CA) </li></ul></ul><ul><ul><li>Wahl der Bezugsquelle Self-certified oder Trustcenter </li></ul></ul><ul><li>OpenPGP-Zertifikate </li></ul><ul><ul><li>Immer „selbst“ erstellt </li></ul></ul><ul><ul><li>Flaches Konzept mit „Web of Trust“ </li></ul></ul>
    8. 8. Die do-it-yourself-Lösung (H)erstellung eigener Zertifikate (PKI) <ul><li>Aufbau einer eigenen Public Key Infrastructure durch die (H)erstellung eigener Zertifikate (Bio-Diesel-Selbstversorger) </li></ul><ul><li>Verwendung der Zertifikatssysteme für E-Mail nach Industriestandard: X.509 (S/MIME) bzw. Open PGP </li></ul><ul><ul><li>Auswahl der technischen Lösung für Lotus Domino </li></ul></ul><ul><li>Erstellung eines diesbezüglichen Regelwerkes (Policy) </li></ul><ul><li>Umfangreiches Wissen </li></ul>
    9. 9. Vorteile der eigenen PKI-Lösung <ul><li>Die Hoheit über sämtliche diesbezüglichen Prozesse sind in eigener Hand </li></ul><ul><li>Geringe Kosten bei der Herstellung der Zertifikate </li></ul><ul><li>(Ab einer bestimmten Unternehmensgröße) Ideal für den konzern- bzw. unternehmensinternen Mailverkehr über öffentliche Verbindungen, sprich Internet </li></ul><ul><li>Innerhalb einer Lotus-Domino-Umgebung überflüssig, da PKI eingebaut </li></ul>
    10. 10. Nachteile der eigenen PKI-Lösung <ul><li>Erhebliche Nachteile beim E-Mail-Austausch mit Externen (Interoperabilität) </li></ul><ul><ul><li>Keine öffentliche Zertifizierung durch neutrale Dritte sondern lediglich Selbstzeugnis </li></ul></ul><ul><ul><li>Keine Hinterlegung der Root-Zertifikate in Standard-Software wie Browsern oder Mailsystemen </li></ul></ul><ul><ul><li>Ob, wie und wo erfolgt die Zurverfügungstellung der öffentlichen Schlüssel? </li></ul></ul>
    11. 11. Der Lösungsansatz für die Behebung der Nachteile einer eigenen PKI „European Bridge CA“ als Workaround (http://www.bridge-ca.de/eb-ca2/index.php) <ul><li>Was ist das? </li></ul><ul><ul><li>Mittels der European Bridge-CA (EB-CA) wird eine sichere und authentische Kommunikation zwischen Unternehmen ermöglicht, indem die Public-Key-Infrastrukturen der einzelnen Organisationen miteinander verknüpft werden. Bereits ausgegebene Zertifikate können über die lokalen „Identitätsinseln&quot; hinaus verwendet werden. </li></ul></ul><ul><li>Zusammengefasst, eine Art Überbau, eine Brücke zwischen den PKI-Inseln </li></ul>
    12. 12. Die Bedeutung der European Bridge CA (Genossenschaft der Bio-Diesel-Selbstversorger) <ul><li>… ergibt sich beim Blick in die Liste der </li></ul><ul><li>… bzw. derer, die via Bridge CA erreichbar sind, z. B. div. Bundesämter, der Bundestag, div. Bundesländer etc. </li></ul>
    13. 13. Die Alternative zur eigenen PKI ist die Verwendung öffentlicher Zertifikate <ul><li>Herausgeber ist ein öffentliches (akkreditiertes) Trustcenter (öffentliche Tankstelle mit V-Plus-Super) </li></ul><ul><li>Vorteile: </li></ul><ul><ul><li>Öffentliche Schlüssel sind tatsächlich öffentlich </li></ul></ul><ul><ul><li>Standardsoftware Clients werden i.d.R. mit den Root-Zertifikaten der Trustcenter ausgeliefert </li></ul></ul><ul><li>Nachteile </li></ul><ul><ul><li>Vergleichsweise hohe Kosten für die Zertifikate </li></ul></ul><ul><ul><li>Derzeit keine Alternative </li></ul></ul>
    14. 14. Mittels getrusteter Zertifikate wäre die reine Lehre möglich => Ende-zu-Ende-Verschlüsselung <ul><li>Vorteil </li></ul><ul><ul><li>Höchstmögliche Sicherheit </li></ul></ul><ul><li>Nachteile (jeder benötigt eine eigenes Auto) </li></ul><ul><ul><li>Die Standard-Mailsysteme verarbeiten Zertifikate nur bedingt gut </li></ul></ul><ul><ul><li>Benötigte Plugins von Drittanbietern sind unzuverlässig </li></ul></ul><ul><ul><li>Vielzahl und Weiterentwicklung der unterschiedlichen Mail-Clients ist der Tod der Plugins </li></ul></ul><ul><ul><li>Hohes Anwenderwissen (quasi als K.O.-Kriterium) </li></ul></ul><ul><ul><li>Virenschutz / Inhaltskontrolle wird verhindert </li></ul></ul>
    15. 15. Der Durchbruch - die virtuelle Poststelle –
    16. 16. Der Bankenverband hat sich für das Julia MailOffice entschieden und wie folgt eingebunden: <ul><li>Jede Komponente ist redundant vorhanden </li></ul><ul><li>Die Nutzung erfolgt asymmetrisch für eingehende bzw. ausgehende E-Mails </li></ul>
    17. 17. Vorteile einer virtuellen Poststelle <ul><li>Die virtuelle Poststelle ist vergleichbar mit einer Firewall, da zentraler Komplettschutz als serverbasierte Lösung </li></ul><ul><ul><li>zum ver- und entschlüsseln von E-Mails </li></ul></ul><ul><ul><li>für Signatur und Signaturprüfung </li></ul></ul><ul><ul><li>zentraler Antiviren- und Contentfilter durch Einsatz von Drittanbieterlösungen </li></ul></ul><ul><ul><li>eine Ende-zu-Ende-Verschlüsselung ist möglich </li></ul></ul><ul><li>Zentrale, vom verwendeten Mailsystem unabhängige Administration </li></ul><ul><li>Definition, vom Anwender nicht herabsetzbarer Regeln für Kommunikationspartner, z. B. Personen oder Organisationen </li></ul><ul><li>Geringer Schulungsaufwand für Anwender </li></ul>
    18. 18. Was ist seither geschehen? <ul><li>Der Bankenverband will praktische Erfahrungen zum Thema „Sichere E-Mail“ sammeln (Führerschein) </li></ul><ul><li>Zu diesem Zweck wurde die virtuelle Poststelle in Betrieb genommen (Autokauf und Zulassung) </li></ul><ul><li>Es fanden erfolgreiche Interoperabilitätstest zwischen Bankenverbands-Mitarbeitern und ausgesuchten Mitarbeitern in Mitgliedsinstituten statt (erfolgreiche Probefahrt) </li></ul>
    19. 19. Nachteil: Das Auto steht in der Garage, weil der Treibstoff zu teuer ist <ul><li>Der Bezug öffentlicher Zertifikate inklusive jährlicher Verlängerung ist bei geringer Stückzahl zu teuer </li></ul><ul><li>Ein Rollout für alle Mitarbeiter hat aus diesem Grunde bislang nicht stattgefunden (kein Auto für alle) </li></ul>
    20. 20. Das „Treibstoff-Problem“
    21. 21. Projekt Managed PKI <ul><li>Synthese zwischen Betrieb der eigener PKI und der Nutzung eines öffentlichen Trustcenters </li></ul><ul><li>Partnerschaft zwischen Post AG (SignTrust), ICC und XCOM AG </li></ul><ul><li>Ziele: </li></ul><ul><ul><li>Kostensenkung bei der Zertifikatsbeschaffung und Erneuerung </li></ul></ul><ul><ul><li>Erleichterung bei Ausgabe, Rückruf und Wartung der Zertifikate </li></ul></ul><ul><ul><li>Delegierung von Verantwortung zum Gateway Betreiber (z.B. Personalabteilung) </li></ul></ul>
    22. 22. Aufbau der Managed PKI <ul><li>Zweistufige Hierarchie der Registration Officer (RO) </li></ul><ul><li>„ Super Registration Officer“ ernennt und verwaltet Registration Officer (Vollmachtsstellung) </li></ul><ul><li>RO beantragt und verwaltet MailGateway Clientzertifikate </li></ul><ul><li>Zweistufige CA Hierarchie: </li></ul><ul><ul><li>Vertrauenswürdige Root CA </li></ul></ul><ul><ul><li>MailGateway SubCA </li></ul></ul><ul><li>X.509 Zertifikate mit drei bis fünfjähriger Gültigkeit </li></ul>
    23. 23. Antragsprozess <ul><li>SRO Zertifikat: </li></ul><ul><ul><li>Antrag bei SignTrust </li></ul></ul><ul><ul><li>PostIdent Verfahren </li></ul></ul><ul><li>RO Zertifikate: </li></ul><ul><ul><li>Browser-basierter Antrag / PostIdent </li></ul></ul><ul><ul><li>Freischaltung durch SRO </li></ul></ul><ul><li>Client-Zertifikate </li></ul><ul><ul><li>Browser-basierter Antrag </li></ul></ul><ul><ul><li>Bulk-Zertifikate (CSV Upload) </li></ul></ul><ul><ul><li>Auslieferung per eMail oder Download </li></ul></ul><ul><ul><li>Auslieferung an den RO </li></ul></ul>
    24. 24. Rechte der Registration Officer <ul><li>Super Registration Officer: </li></ul><ul><ul><li>Kann RO identifizieren, Antrag freischalten, Sperrungen vornehmen </li></ul></ul><ul><ul><li>Hat ausschließlich Lese-Rechte auf Clientzertifikate </li></ul></ul><ul><li>Registration Officer: </li></ul><ul><ul><li>Kann Client-Zertifikate beantragen (CSV Upload mit PKCS#10 Request) </li></ul></ul><ul><ul><li>Kann Clientzertifikate administrieren/sperren </li></ul></ul>
    25. 25. Schlüssel- generierung Zertifikats- beantragung 1 2 Zertifikate empfangen & installieren ! Virtuelle Poststelle RO SignTrust SRO Bulk-Antrag inkl. Public Keys Email & Link Online-Antrag Anträge freischalten Sing Trust Datenbank Zertifikate ausstellen 3 4 5 6
    26. 26. Managed PKI @ Bankenverband <ul><li>Bankenverband stellt SignTrust via Julia Mailgateway die für die Erzeugung von Zertifikaten notwendigen Angaben zur Verfügung </li></ul><ul><li>SignTrust erzeugt automatisiert die Zertifikate, stellt die öffentlichen Schlüssel bereit und liefert die privaten Schlüssel an das Julia-Mailgateway </li></ul><ul><ul><li>Der Kunde garantiert dem TrustCenter die Richtigkeit der Angaben zur Erstellung der Zertifikate </li></ul></ul><ul><ul><li>Das TrustCenter garantiert die Richtigkeit der Zertifikate gegenüber der Öffentlichkeit </li></ul></ul>
    27. 27. Ende gut – alles gut!? <ul><li>Ziel: “Rundumsorglospaket” mit fest definierten Kosten für Anschaffung, Einrichtung und laufenden Betrieb </li></ul><ul><li>„ Insourcing“ von Trustcenter-Aufgaben beim Kunden </li></ul><ul><ul><li>Kunde kennt seine Mitarbeiter und hat Verträge mit ihnen. </li></ul></ul><ul><ul><li>Das TC muß nicht nochmal mit jedem Nutzer einen Vertrag abschließen. </li></ul></ul><ul><ul><li>Management wird wesentlich vereinfacht, Kosten sinken erheblich </li></ul></ul><ul><ul><li>Generierung hoher Stückzahlen für Zertifikate, die wiederum den Einzelpreis senken werden </li></ul></ul>
    28. 28. Treibstoff vorhanden? <ul><li>Managed PKI wird den Treibstoff kostengünstig machen </li></ul><ul><ul><li>Zertifikatspreise sinken </li></ul></ul><ul><ul><li>Betrieb wird vereinfacht </li></ul></ul><ul><ul><li>Wenig Fachwissen beim Anwender notwendig </li></ul></ul><ul><ul><li>Geringer Schulungsaufwand bei den Anwendern, bedeutet: Kurze Anlaufzeit und hohe Akzeptanz </li></ul></ul><ul><ul><li>Ziel der erhöhten Sicherheit in der elektronischen Kommunikation ist erreicht </li></ul></ul><ul><li>XCOM wird Gateway-Funktionalität als Dienst für ihre Kunden im eigenen RZ bereitstellen (-> keine eigene Infrastruktur mehr notwendig!) </li></ul>
    29. 29. <ul><li>Es gibt Hoffnung für das Treibstoffproblem. </li></ul><ul><li>Für Ihr Interesse danken Achim Nowak und Alexander Kluge </li></ul><ul><li>( [email_address] / [email_address] ) </li></ul>

    ×