Managed PKI Lösung

Der SEPPmail Secure E-Mail Gateway bietet eine vollständige Certification Authority (CA), welche als Self-Signed-, aber auch Sub-CA genutzt werden kann. Diese verwaltet Schlüssel bzw. Zertifikate der Benutzer zentral im System. E-Mail Zertifikate können von beliebigen CAs eingespielt werden.
quo-vadisEs existieren automatische Konnektoren zu weltweit anerkannten Zertifizierungstellen (CA) wie QuoVadis und Swisssign. Weitere Konnektoren sind in Vorbereitung. Über diesen Konnektor wird das Schlüsselpaar für die User automatisch erstellt und der Certificate signing request (CSR) für den Public Key automatisch an die jeweilige CA übermittelt. In der Appliance werden diese den Usern zugeordnet und zur Signatur und Entschlüsselung herangezogen.

Der Bezug von Zertifikaten für die E-Mail-Konten ist daher flexibel und individuell konfigurierbar.

Bei Anlage eines neuen Benutzers – dies kann wahlweise automatisch zum Beispiel bei Anforderung von Verschlüsselung oder Signatur, oder manuell erfolgen – kann gewählt werden, ob ein E-Mail Zertifikat automatisch ausgestellt werden soll. Dieses kann dann von der internen (Sub-)CA oder über die MPKI Schnittstelle bezogen werden. Bei Bedarf sind auch beide Varianten parallel möglich.

Wird das Zertifikat über die MPKI bezogen, so wird das Schlüsselpaar auf der SEPPmail Appliance generiert und nur der öffentliche Schlüssel zum Signieren an die Trustet CA übermittelt. Der sensible private Schlüssel verlässt zu keiner Zeit den Secure E-Mail Gateway und liegt dort wie das gesamte Schlüsselmaterial in einem gesicherten Bereich.

Zertifikate

Um eine SEPPmail Appliance mit Zertifikaten zu bestücken, sollte sich der Kunde im Klaren sein, was und in welcher Qualität er seine E-Mail Kommunikation veredeln will:

  • SSL-Zertifikat: ein offizielles SSL-Zertifikat ist auf alle Fälle notwendig, um die GINA-Funktionalität abzusichern
  • E-Mail Zertifikat
  • Personenbezogenes Zertifikat

Wenn es nun darum geht die Mails mit Signaturen zu versehen, wird die Sache schon etwas komplexer, denn die verschiedenen Anbieter von S/MIME Zertifikate benennen Ihre Produkte oft völlig unterschiedlich. Im Wesentlichen unterscheidet man aber zwischen einfachen E-Mail (oder Domänen)-validierten Zertifikate und Personen- und Organisations-validierten Zertifikate.

E-Mail Zertifikat

Die einfachste und oft kostengünstigste Version ist jenes Zertifikat, welches ausschließlich die E-Mail Adresse des Senders beinhaltet. Damit wird auch nur diese beim Empfang einer E-Mail bestätigt. Damit sind zumindest die Grundvoraussetzungen einer E-Mail Signatur abgedeckt. Nämlich: die E-Mail wurde auf Ihrem Weg vom Gateway bis zum Posteingang des Empfängers nicht verändert und die E-Mail stammt tatsächlich von der sendenden Emailadresse. D.h. die Emailadresse wurde nicht gefakt, wie das oft bei Spams zu finden ist. Sie ist existent und sofern sie eine Domäne des Unternehmens gehört, kann man davon ausgehen, dass sie von diesem Unternehmen gesendet wurde. Diese Bestätigung gibt aber letztendlich nicht die ausstellende CA, sondern ergibt sich aus einer logischen Kette. Eine Betrugssituation ist hier recht unwahrscheinlich. Auch wird der Public Key des Senders mitgeliefert und der Externe in die Lage versetzt mit diesem seine Antwort an den ursprünglichen Sender zu verschlüsseln. Diese Mechanismen könnte man natürlich auch mit einen sogenannten „selfsigned certificate“ (= selbsterstelltem Zertifikat) abdecken, man entledigt sich aber auch den Vorzügen einer automatischen Prüfung des Zertifikats durch den Mailclient (oder Gateway) des Empfängers. Auch eine Übernahme von Haftung und die automatische Erneuerung nach Ablauf des Zertifikats sind bei selbsterstellten Zertifikaten nicht gegeben.

Personenbezogenes Zertifikat

Wird eine höherwertige Absicherung gewünscht, wird im Zertifikat auch noch der Vor- und Nachname der zur E-Mail Adresse gehörenden Person und der Name des Unternehmens eingefügt. Die Domaine des Unternehmens ist durch die E-Mail Bezeichnung des Unternehmens im Zertifikat enthalten. Man spricht hier von einem personen- und organisationsvalidierten Zertifikat. Erst, wenn dieses Zertifikat nur HW gebunden herausgegeben wird (wie z.B. beim Personalausweis in D oder SuisseID in CH) spricht man vom qualifizierten oder fortgeschrittenen Zertifikat. Das qualifizierte Zertifikat wird in der Regel noch schärfer kontrolliert, hier reicht nicht die Kopie des Personalausweises sondern es muss eine Face-to-Face Kontrolle (z.B. PostIdent in D) durchgeführt werden.

Prozess zur Zertifikatsgenerierung

Bei einer managed PKI, wie sie in der SEPPmail Appliance zu finden ist, wird das Schlüsselpaar auf der Maschine erzeugt und der Public Key mittels Konnektor an die offizielle CA (certificate authority) geschickt. Die Bitte um Erzeugung eines Zertifikates (CSR = certificate sign request) ist signiert. Der wichtige Private Key verlässt die Maschine niemals und wird dort sicher zur Dechiffrierung abgelegt. Dabei können beide, davor beschriebenen, Zertifikatsgüten auf der Appliance erzeugt und verwaltet werden.

Das ist der technische Ablauf, wie sieht aber der rechtlich/organisatorische Ablauf aus? Der Kunde schließt mit der CA seiner Wahl einen Vertrag über x Zertifikate ab, die dann Laufzeiten von 1,3 oder 5 Jahre haben können.

Bei diesem Vorgang werden geprüft:

  • Eigentum der Domaine
  • Handelsregisterauszug
  • Unterschriften der Organisationsvertreter (Kopie der ID, sind es die richtigen gemäss Handelsregister? Gilt Unterschrift zu zweien?)
  • Name der Organisation (ist es der im Handelsregister, oder taucht hier plötzlich die IT Tochter des Unternehmens auf, die im Handelsregister woanders steht? Ist die Organisationsform richtig?)
  • Sowie die Unterschriften der für die MPKI Handlungsbevollmächtigten (Zertifikatsverantwortlichen) gemäss ID Kopie.

Mit der Unterschrift der Geschäftsführer bestätigt dieser, dass er in seiner Organisation den sorgfältigen Umgang mit den Zertifikaten und Schlüsseln sicherstellt, sofort informiert bei Verlust, Diebstahl, etc. und die Prozesse zur Vergabe der Zertifikate einhält (z.B. dass Zertifikate seines Unternehmens nicht an Unberechtigte ausgestellt werden). Er erlaubt weiterhin – bei qualifizierten Zertifikaten – dass seine Organisation im Zertifikat verwendet werden kann und darüber alleinig die Operatoren entscheiden dürfen (eingeschränkte Handlungsvollmacht). Die CA übergibt dafür die RA (= registration authority) mit allen Rechten und Pflichten an das vertraglich gebundene Unternehmen.

In der Regel beschränkt sich die Aufgabe der Operatoren bei einem einfachen E-Mail Zertifikat auf die Kontrolle des Ablaufs (Appliance-Konnektor-CA). Der Operator sollte aber auch sicherstellen, dass der Prozess im Setup Dokument eingehalten wird, z.B. Ausstellung nur an Personen, die in einer HR Liste sind (dort wurde vorab geprüft, dass ein Arbeitsvertrag vorliegt und die Personalien übereinstimmen). Ihm wurde bewusst gemacht, dass ein Mißbrauch der Zertifikatserstellung ernstzunehmende Folgen für Ihn und dem Unternehmen haben kann und wird. Denn ein Ausstellen von E-Mail Zertifikate für Firmenfremde unter der eigenen Firmendomäne kann bei Missbrauch (zB Dokumentenfälschung) ernstzunehmenden Schaden für Firma und beglaubigende CA haben.

Deutlich erhöht wird die Verantwortung sorgfältiger zu agieren, wenn es sich um personenbezogene Zertifikate handelt. Dann übernimmt diese Prüfung (via LDAP, AD, IDM-Lösungen oder physischer Vorlage des Personalausweises) der oder die zuständigen und „vereideten“ Systemadministratoren oder organisatorischen Einheiten innerhalb eines Unternehmens.

Eine automatische Ausstellung (über den Connector) von qualifizierten Zertifikaten ist aufgrund der face-2-face Überprüfung nicht möglich.

Fazit

Nicht die E-Mail Verschlüsselung alleine macht eine echte, runde sichere E-Mail Lösung aus. Erst die Signatur mit S/MIME Zertifikaten vollendet diese. Eine managed PKI nimmt fast 100% der Verwaltung von den Schultern der Administration, diese sollten sich aber auch bewusst sein, dass ein Zertifikat, gerichtlich gesehen in der Regel als Augenscheinbeweis gelten, gegen den schwer anzutreten ist.

Der handschriftlichen Unterschrift gleichgestellt ist nur das qualifizierte Personenzertifikat, welches der Benutzer laufend als Hardware bei sich trägt. In Deutschland ist nur das Zertifikat auf dem Personalausweis zugelassen. Dieses gibt es derzeit ausschließlich von der Bundesdruckerei, es gilt auch nur als qualifiziert, wenn man in einen Kartenleser (Kostenpunkt 150 EUR) für Personalausweise eines speziellen Herstellers investiert und sich auch einer persönlichen Face-2-Face Kontrolle unterwirft. Zitat: „Und da das dann alles so sicher ist und leider so teuer dadurch wird, nutzt es in Deutschland bisher kaum jemand“.

In der Schweiz bietet QuoVadis die sogenannte SuisseID.

Weitere Infos in folgendem Video: