Mit S/MIME gegen Phishing: Unterschied zwischen den Versionen

Aus SSLplus
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(8 dazwischenliegende Versionen von 3 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
= Was ist S/MIME =
= Was ist S/MIME =


[[Bild:emailsignatur.jpg | right | 400px]]
[[Bild:emailsignatur.jpg | 400px | right ]]


S/MIME beschreibt eine Erweiterung des MIME Standards, für die Verschlüsselung und Signatur von Emails.
S/MIME beschreibt eine Erweiterung des MIME Standards, für die Verschlüsselung und Signatur von E-Mails.


Für die Nutzung von S/MIME wird ein S/MIME-Zertifikat benötigt. Damit eine problemlose Verwendung möglich ist, sollte das Zertifikat von einer anerkannten Zertifizierungsstelle ausgegeben worden sein.
Für die Nutzung von S/MIME wird ein S/MIME-Zertifikat benötigt. Damit eine problemlose Verwendung möglich ist, sollte das Zertifikat von einer anerkannten Zertifizierungsstelle ausgegeben worden sein.
Zeile 9: Zeile 9:
Bei S/MIME Zertifikaten unterscheidet man gemeinhin 3 Klassen.
Bei S/MIME Zertifikaten unterscheidet man gemeinhin 3 Klassen.


* Class 1 ‚Äì bei diesen Zertifikaten wird nur die Konnektivität der einzutragenden Emailadresse überprüft.
* Class 1 ‚Äì bei diesen Zertifikaten wird nur die Konnektivität der einzutragenden E-Mail-Adresse überprüft.


* Class 2 ‚Äì bei diesen Zertifikaten wird neben der Emailadresse die Person überprüft und eingetragen, auf die das Zertifikat ausgestellt werden soll.
* Class 2 ‚Äì bei diesen Zertifikaten wird neben der E-Mail-Adresse die Person überprüft und eingetragen, auf die das Zertifikat ausgestellt werden soll.


* Class 3 ‚Äì bei diesen Zertifikaten wird neben der Emailadresse die Person überprüft und eingetragen, für die erfolgreiche Überprüfung ist in der Regel eine persönlich Prüfung notwendig (Postident).
* Class 3 ‚Äì bei diesen Zertifikaten wird neben der E-Mail-Adresse die Person überprüft und eingetragen, für die erfolgreiche Überprüfung ist in der Regel eine persönlich Prüfung notwendig (Postident).


* Qualifizierte Signatur - der Antragsteller wird persönlich geprüft. Das Zertifikat wird auf einem Token geliefert, dass unveränderbar sein muss.
* Qualifizierte Signatur - der Antragsteller wird persönlich geprüft. Das Zertifikat wird auf einem Token geliefert, dass unveränderbar sein muss.


= Wie funktioniert auch S/MIME =
= Wie funktioniert S/MIME =


== Signatur ==
== Signatur ==


Bei der Signatur wird mit dem privaten Schlüssel eine ''Unterschrift'' erzeugt, die sich mit dem öffentlichen Schlüssel überprüfen läßt. Der öffentliche Schlüssel bzw. das Zertifikat wird mit der S/MIME signierten Email ebenfalls übermittelt. Damit die Unterschrift als gültig anerkannt wird, ist es ebenfalls notwendig, dass die vollständige Zertifikatskette beim Empfänger vorhanden ist.
Bei der Signatur wird mit dem privaten Schlüssel eine ''Unterschrift'' erzeugt, die sich mit dem öffentlichen Schlüssel überprüfen lässt. Der öffentliche Schlüssel bzw. das Zertifikat wird mit der S/MIME signierten Email ebenfalls übermittelt. Damit die Unterschrift als gültig anerkannt wird, ist es ebenfalls notwendig, dass die vollständige Zertifikatskette beim Empfänger vorhanden ist.


==Verschlüsselung==
==Verschlüsselung==
Zeile 27: Zeile 27:
Kurz und grob erklärt ist es für die Verschlüsselung notwendig, dass dem Absender der verschlüsselten Nachricht das S/MIME Zertifikat des Empfängers vorliegt. Die Verschlüsselung erfolgt mit dem öffentlichen Schlüssel/Zertifikat des Empfängers.
Kurz und grob erklärt ist es für die Verschlüsselung notwendig, dass dem Absender der verschlüsselten Nachricht das S/MIME Zertifikat des Empfängers vorliegt. Die Verschlüsselung erfolgt mit dem öffentlichen Schlüssel/Zertifikat des Empfängers.


= Wie läßt sich mit S/MIME Phishing vorbeugen =  
= Wie lässt sich mit S/MIME Phishing vorbeugen =  


Je höher die Klasse des S/MIME Zertifikates ist, desto mehr Informationen sind über den Absender der Nachricht erkennbar. Ist mit einem Klasse 1 Zertifikat nur die Emailadresse des Absender als überprüft ersichtlich, bieten höherwertige Zertifikate Rückschluss auf Person und Unternehmen. Bei qualifizierten Signaturen, wie sie mit der SwissID der Schweizer Post erzeugt werden können, kann die Identität des Absenders sogar als amtlich beglaubigt angesehen werden.
Je höher die Klasse des S/MIME Zertifikates ist, desto mehr Informationen sind über den Absender der Nachricht erkennbar. Ist mit einem Klasse 1 Zertifikat nur die Emailadresse des Absender als überprüft ersichtlich, bieten hochwertigere Zertifikate Rückschluss auf Person und Unternehmen. Bei qualifizierten Signaturen, wie sie mit der SwissID der Schweizer Post erzeugt werden können, kann die Identität des Absenders sogar als amtlich beglaubigt angesehen werden.


Wenn der Absender die Emails nun entsprechend unterschreibt, gibt er seinem Kommunikationspartner die Möglichkeit, zu prüfen, ob es sich bei der Email um eine ''echte'' oder gefälschte Email handelt. Fehlt eine gültige Signatur, sollte der Inhalt der Email zumindest mit Vorsicht genossen werden.
Wenn der Absender die Emails nun entsprechend unterschreibt, gibt er seinem Kommunikationspartner die Möglichkeit, zu prüfen, ob es sich bei der Email um eine ''echte'' oder gefälschte Email handelt. Fehlt eine gültige Signatur, sollte der Inhalt der Email zumindest mit Vorsicht genossen werden.
Zeile 37: Zeile 37:
=Abschluss=
=Abschluss=


Auch wenn gerade höherwertige Signaturen unter Emails das Risiko senken sollten, einer Phishing Email aufzusitzen, so sind die günstigen S/MIME Zertifikate ähnlich vorsichtig zu verwenden, wie dies bei domainvalidierten Zertifikaten der Fall ist. Die jüngste Vergangenheit hat gezeigt, dass es potentiell recht einfach sein kann an Zertifikate zu gelangen, die nur rudimentär geprüft werden. Und sie hat auch gezeigt, wie einfach es potentiell sein kann, Emailaccounts zu kapern, um eine rudimentäre Prüfung zu bewerkstelligen.
Auch wenn gerade hochwertigere Signaturen unter E-Mails das Risiko senken sollten, einer Phishing E-Mail aufzusitzen, so sind die günstigen S/MIME Zertifikate ähnlich vorsichtig zu verwenden, wie dies bei domainvalidierten Zertifikaten der Fall ist. Die jüngste Vergangenheit hat gezeigt, dass es potentiell recht einfach sein kann an Zertifikate zu gelangen, die nur rudimentär geprüft werden. Und sie hat auch gezeigt, wie einfach es potentiell sein kann, E-Mail-Accounts zu kapern, um eine rudimentäre Prüfung zu bewerkstelligen.
 
= Verweise =
 
* [https://www.sslplus.de/ssl/anwendungsbereiche/e-mailsignatur-zertifikate.html S/MIME Zertifikate]
* [https://www.sslplus.de/seppmail/ Die SEPPmail Appliance]
* [https://www.sslplus.de/produkte/managed-pki.html Managed PKI]
 
= Installation =
 
* [https://www.sslplus.de/wiki/Wie_installiere_ich_ein_Email-Signaturzertifikat_in_Apple_Mail%3F S/MIME Zertifikat in Apple Mail installieren]
* [https://www.sslplus.de/wiki/Wie_installiere_ich_ein_Email-Signaturzertifikat_in_Outlook_für_Mac%3F S/MIME Zertifikat in Outlook für Mac installieren]

Aktuelle Version vom 10. Februar 2017, 10:44 Uhr

Was ist S/MIME

S/MIME beschreibt eine Erweiterung des MIME Standards, für die Verschlüsselung und Signatur von E-Mails.

Für die Nutzung von S/MIME wird ein S/MIME-Zertifikat benötigt. Damit eine problemlose Verwendung möglich ist, sollte das Zertifikat von einer anerkannten Zertifizierungsstelle ausgegeben worden sein.

Bei S/MIME Zertifikaten unterscheidet man gemeinhin 3 Klassen.

  • Class 1 ‚Äì bei diesen Zertifikaten wird nur die Konnektivität der einzutragenden E-Mail-Adresse überprüft.
  • Class 2 ‚Äì bei diesen Zertifikaten wird neben der E-Mail-Adresse die Person überprüft und eingetragen, auf die das Zertifikat ausgestellt werden soll.
  • Class 3 ‚Äì bei diesen Zertifikaten wird neben der E-Mail-Adresse die Person überprüft und eingetragen, für die erfolgreiche Überprüfung ist in der Regel eine persönlich Prüfung notwendig (Postident).
  • Qualifizierte Signatur - der Antragsteller wird persönlich geprüft. Das Zertifikat wird auf einem Token geliefert, dass unveränderbar sein muss.

Wie funktioniert S/MIME

Signatur

Bei der Signatur wird mit dem privaten Schlüssel eine Unterschrift erzeugt, die sich mit dem öffentlichen Schlüssel überprüfen lässt. Der öffentliche Schlüssel bzw. das Zertifikat wird mit der S/MIME signierten Email ebenfalls übermittelt. Damit die Unterschrift als gültig anerkannt wird, ist es ebenfalls notwendig, dass die vollständige Zertifikatskette beim Empfänger vorhanden ist.

Verschlüsselung

Kurz und grob erklärt ist es für die Verschlüsselung notwendig, dass dem Absender der verschlüsselten Nachricht das S/MIME Zertifikat des Empfängers vorliegt. Die Verschlüsselung erfolgt mit dem öffentlichen Schlüssel/Zertifikat des Empfängers.

Wie lässt sich mit S/MIME Phishing vorbeugen

Je höher die Klasse des S/MIME Zertifikates ist, desto mehr Informationen sind über den Absender der Nachricht erkennbar. Ist mit einem Klasse 1 Zertifikat nur die Emailadresse des Absender als überprüft ersichtlich, bieten hochwertigere Zertifikate Rückschluss auf Person und Unternehmen. Bei qualifizierten Signaturen, wie sie mit der SwissID der Schweizer Post erzeugt werden können, kann die Identität des Absenders sogar als amtlich beglaubigt angesehen werden.

Wenn der Absender die Emails nun entsprechend unterschreibt, gibt er seinem Kommunikationspartner die Möglichkeit, zu prüfen, ob es sich bei der Email um eine echte oder gefälschte Email handelt. Fehlt eine gültige Signatur, sollte der Inhalt der Email zumindest mit Vorsicht genossen werden.

Darüber hinaus bietet die Möglichkeit der Emailverschlüsselung natürlich auch einen sicheren Kanal um vertrauliche Informationen auszutauschen,

Abschluss

Auch wenn gerade hochwertigere Signaturen unter E-Mails das Risiko senken sollten, einer Phishing E-Mail aufzusitzen, so sind die günstigen S/MIME Zertifikate ähnlich vorsichtig zu verwenden, wie dies bei domainvalidierten Zertifikaten der Fall ist. Die jüngste Vergangenheit hat gezeigt, dass es potentiell recht einfach sein kann an Zertifikate zu gelangen, die nur rudimentär geprüft werden. Und sie hat auch gezeigt, wie einfach es potentiell sein kann, E-Mail-Accounts zu kapern, um eine rudimentäre Prüfung zu bewerkstelligen.

Verweise

Installation