none
E-Mailverschlüsselung RRS feed

  • Frage

  • Moin,

    ein Kunde wünscht den Austausch verschlüsselter Mails. Soweit so gut, PKi ist ja da und man vertraut sich gegenseitig. Gleichzeitig mit diesem Kundenwusch wurde Smartcardanmeldung Testweise gestartet und die Vorlage Smartcardbenutzer verwendet, bzw. jetzt neu eine dublette die das Autoenrollment wfür eine Benutzergruppe unterstützt.

    Umgebung, Server2008r2 mit Win7, Exchange2010 und OLK2010.

    So klappt ja alles, Anmeldung, Mailsignierung und verschlüsselung.

    Allerdings laufen die Zertifikate nach einem Jahr aus und theoretisch kann ich dann Mails, die mit meinem alten öffentlichen Schlüssel verschlüsselt wurden nicht mehr öffnen. Die Frage ist, wie kann ich bei Erneuerung des Zertifikats, oder bei verlust der Smartcard sicherstellen das ich noch alte verschlüsselte Mails lesen kann?

    Und noch ein Problem. Vom externen Kontakt habe ich in OLK einen Kontakt angelegt der seinen öffentlichen Schlüssel enthält. Schicke ich dem externen Kontakt eine verschlüsselte und signierte Mail, signiert und verschlüsselt er jedoch die Mail mit meinem öffentlichen Schlüssel, womit mein gegenüber nichts anfangen kann. Gibt es hier ein How To?

    Danke für Hilfe und Antworten.

    Sonntag, 20. März 2011 12:32

Antworten

  • Moin,

    ich habe eine neue Zertifikatsvorlage gebaut, mit allen Einstellungen wie ich sie haben möchte, inkl. Schlüsselarchivierung, vorher einen Key Recovery Agent benannt und eingerichtet, nun kann ich die zertifikate ausrollen, und wenn mal ne Karte verloren geht kann ich den Schlüssel wiederherstellen um alte E-mails zu entschlüsseln.

    Alle Anforderungen sind erfüllt.

    Danke für eure Antworten

    http://technet.microsoft.com/de-de/library/cc770567(WS.10).aspx

     

    • Als Antwort markiert SNR_1 Montag, 2. Mai 2011 09:05
    Freitag, 8. April 2011 16:07

Alle Antworten

  • HI,

    die abgelaufenen Zertifikate darfst du natürlich nicht löschen. Solange die im Benutzerprofil (lokal) liegen kannst du auch die alten Emails lesen.

    Zum Sichern: Die CA wird doch hoffentliche gesichert. Und die Zertifikate sollte jeder User einmal exportieren, das sollte reichen.

    Deine Fragen implizieren das du wahrscheinlich auch nicht weisst was ein Recovery key ist?

    --> das Problem mit dem Kontakt kann ich so jetzt nicht nachvollziehen, ist das Zertifikat denn wirklich importiert?

    Anmerkung: Emailzertifikate auf Smartkart sollte man sich gut überlegen, was spricht dagegen mehrere Vorlagen auszustellen. Im Übrigen hat der Erste Teil deiner Frage eher was mit CA-Windows Server zu tun, der Zweite eher mit OUtlook als Client. Insofern bist du aus meiner Sicht wahrscheinlich im falschen Forum gelandet.

    Aber Just my 2 Cents


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Sonntag, 20. März 2011 22:16
    Moderator
  • Hallo zusammen,

    korrekt, die alten, abgelaufenen Zertifikate dürfen nicht gelöscht werden. Nur mit diesen Zertifikaten können die alten E-Mails entschlüsselt werden, auch wenn sie abgelaufen sind. Deswegen ist das Schlüsselmanagement bei der Client-basierten Verschlüsselung von enormer Bedeutung. Mit einem abgelaufenen Zertifikat kann ich lediglich keine E-Mails mehr verschlüsseln / signieren. Die E-Mails entschlüsseln und die Signatur prüfen kann ich auch mit einem abgelaufenen Zertifikat. Alles andere wäre tragisch.

    Ich selber bin ein großer Verfechter der Smartcard auch und gerade bei E-Mail-Verschlüsselung. Der große Vorteil ist, dass der private Schlüsel die Smartcard nie verlässt und ich die E-Mail an jeder beliebigen Maschine lesen kann, immer vorausgesetzt, dass die Maschine mit der Smartcard zurecht kommt (Stichwort Treiber). Den privaten Schlüssel nur auf der einen Windows-Maschine installiert zu haben, womöglich auf meinem Notebook, halte ich für wenig flexibel und aus sicherheitstechnischen Aspekten für weniger sicher. Wenn ich meine verschlüsselte E-Mail auch mal an meinem Rechner zu Hause über OWA lesen möchte, oder an einem anderen Rechner in der Firma, muss ich jedes Mal den privaten Schlüssel mit installieren. Dadurch habe ich unter Umständen irgendwann keinen Überblick mehr, wo er sich überall befindet. Wie gesagt, mit einer Smartcard passiert das nicht. Die Maschine denkt zwar dass sie den privaten Schlüssel besitzt, tatsächlich bleibt er aber auf der Smartcard.

    --> Schicke ich dem externen Kontakt eine verschlüsselte und signierte Mail, signiert und verschlüsselt er jedoch die Mail mit meinem öffentlichen Schlüssel, womit mein gegenüber nichts anfangen kann.

    Das ist technisch nicht möglich. Signiert wird die E-Mail immer mit meinem privaten Schlüssel und verschlüsselt mit dem öffentlichen Schlüssel meines Kommunikationspartners. Welche Fehlermeldung erhält denn der Benutzer auf der anderen Seite? Ich vermute, dass hier ein falscher öffentlicher Schlüssel für die Verschlüsselung genutzt wird. Am besten Mal die Fingerabdrücke oder Seriennummern des Zertifikats vergleichen.

    Viele Grüße

    Stefan Cink
    ___________________________________________________________________________
    Produktmanager Net at Work Mailgateway www.enqsig.de

    Montag, 21. März 2011 13:25
  • ich bin mir grad nicht sicher ob ich mehrere Zertifikate auf einer Smartcard speichern kann. Der verwaltungstechnsiche Aspekt ist immer noch nicht ganz gelöst, sprich, Verlust der Smartcard. Gibt es evtl. eine Möglichkeit im Exchange zu sagen, an bestimmte Adressaten signiere und/oder verschlüssele, bzw. wenn etwas von dem und dem kommt enstchlüssele es? Somit hat der Cleint kein problem. Bin grad stark ausgelastet um muss das thema etwas schieben.

    Antwort kann also etwas dauern

    Danke

     

    Montag, 21. März 2011 13:39
  • Hi,

    für den Sicherheitstechnischen Aspekt würde ich eher an Festplattenverschlüsselung denken. Ansonsten kommt man relativ einfach an die Daten. Wegen des Zugriffs auf den priv. Anteil am Emailzertifikat wäre ich da weniger besorgt wenn man mal sieht was auf Laptops so alles rumliegt.

     


    Viele Grüße Walter Steinsdorfer MVP Exchange Server http://msmvps.com/blogs/wstein/
    Montag, 21. März 2011 22:06
    Moderator
  • Moin,

    ich habe eine neue Zertifikatsvorlage gebaut, mit allen Einstellungen wie ich sie haben möchte, inkl. Schlüsselarchivierung, vorher einen Key Recovery Agent benannt und eingerichtet, nun kann ich die zertifikate ausrollen, und wenn mal ne Karte verloren geht kann ich den Schlüssel wiederherstellen um alte E-mails zu entschlüsseln.

    Alle Anforderungen sind erfüllt.

    Danke für eure Antworten

    http://technet.microsoft.com/de-de/library/cc770567(WS.10).aspx

     

    • Als Antwort markiert SNR_1 Montag, 2. Mai 2011 09:05
    Freitag, 8. April 2011 16:07