Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300

Prezentace na téma: "Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300"— Transkript prezentace:

1 Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300
Microsoft Advanced Technologies Ladislav Šolc Security Systems Engineer Microsoft ČR&SK

2 Elektronické podepisování a šifrování zpráv (S/MIME)
Agenda Základní předpoklady Příprava prostředí Windows Server 2003 Příprava Exchange Server 2003 Příprava klienta

3 5 kroků k bezpečným emailům
Nainstalujte službu IIS Nainstalujte službu Certifikační Autority(CA) Upravte Exchange mailbox store pro podporu zpráv S/MIME Získejte Digitální certifikát z CA Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv 

4 Proč podepisovat Falešný email Falešný email s objednávkou
From: Subject: Microsoft Security Bulletin Message: Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390) Summary Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP Impact of vulnerability: Run code of an attacker's choice Maximum Severity Rating: Critical Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately. Attachment: patch.zip or patch_ exe Falešný Falešný s objednávkou Falešný s obchodní nabídkou Falešný s přílohou Falešný se zrušením akce … a šifrovat Citlivé y uvnitř společnosti Citlivé y pro partnery a zákazníky

5 Cíle a plány Poskytnout mechanismus, který zaručí autentickou komunikaci mezi interními uživateli, zákazníky a partnery Vytvoření univerzálních pravidel a podmínek pro bezpečnou komunikaci (pobočky, jazyk) Zajistit nepopiratelnou odpovědnost za odesílané y Ověření pomocí čipových karet – pro odpovědné autory Vyškolit uživatele a tím je naučit používat bezpečný

6 Řešení: S/MIME S/MIME se integruje se technologiemi Public Key Infrastructure (PKI) , zatímco PGP je zaměřeno na samostatné uživatele (kontrola, důvěra, administrace) S/MIME je určena pro práci v Internetu nebo v rozsáhlých podnikových prostředích S/MIME je známa jako protokol pro bezpečnou ovou komunikaci v moderním světě V implementaci S/MIME je k dosažení důvěry z pravidla použita Certifikační autorita (CA). Každý uživatel vlastní certifikát s veřejným klíčem, který je podepsaný touto CA CA může být interní nebo veřejná

7 Řešení: S/MIME Kritéria S/MIME PGP Popis
Secure/MIME v3 (Multi-purpose Internet Mail Exchange) RFC 2633 Pretty Good Privacy RFC 1991 Síla šifrování Vysoká Používá PKI Ano Ne Typ důvěry CA->Uživatel Uživatel<>Uživatel Stupeň důvěry Vysoký Nízký

8 Privátní klíč zná odesílatel i příjemce
Základy: Šifrování Symetrická šifra Privátní klíč zná odesílatel i příjemce Data Data Zašifrování Rozšifrování Cryptography protects data from being viewed or modified and provides secure channels of communication over otherwise insecure channels. For example, data can be encrypted by using a cryptographic algorithm, transmitted in an encrypted state, and later decrypted by the intended party. If a third party intercepts the encrypted data, it is difficult to decipher the data. Cryptography is used to achieve the following goals: Confidentiality: Protect a user’s identity or data from being read. Data integrity: Protect data from being altered. Authentication: Verify that data originates from a particular party. Asymetrická šifra Alice Bob Šifrovací klíč Veřejný klíč Privátní klíč

9 Základy: Šifrování Digitální podpisy
Alice Bob Hash algoritmus Hash algoritmus Veřejný klíč Alice Hash Hash Cryptographic signing ensures that data originates from a specific party by creating a digital signature that is unique to that party. This process also uses hash functions. The following occurs when data is signed with a digital signature: A hash algorithm is applied to the data to create a hash value. The hash value is encrypted with User A’s private key, thereby creating the digital signature. The digital signature and the data are sent to User B. The following occurs when digitally signed data is decrypted: User B decrypts the signature by using User A’s public key and then recovers the hash value. If the signature can be decrypted, User B knows that the data came from User A (or the owner of the private key). The hash algorithm is applied to the data to create a second hash value. The two hash values are compared. If the hash values match, User B knows that the data has not been modified. Privátní klíč Alice Jestliže souhlasí hodnota hash, data data jsou od vlastníka privátního klíče a jsou správná a nezměněná Hash

10 3 oblasti důležité pro S/MIME

11 PKI Active Directory – LDAP úložiště Certifikační služba (CA)
Certifikáty a veřejné klíče – uživatelů, CA CRL – Seznamy zneplatněných certifikátů Automatické vydávání certifikátů Certifikační služba (CA) Vydává certifikáty podle šablon – man./aut. Zneplatňuje existující certifikáty na CRL Zálohuje privátní klíče pro určité typy certifikátů

12 Atribut UserSMIMECertificate, UserCertificate
PKI PKI Health tool CA - Příprava šablon Uložení Certifikátu uživatele v AD Atribut UserSMIMECertificate, UserCertificate

13 Microsoft Exchange Server 2003
Exchange 2003 v podstatě přenechává funkce operačnímu systému a klientům Konfigurace podpory formátu S/MIME Kompatibilita s Event sinks Kompatibilita s Antivirem

14 Exchange Store Podpora formátu S/MIME

15 Poštovní klient POP3, IMAP4 – Outlook Express Outlook 2003 MAPI
GetDigitalID, PublishToGAL Outlook Web Access S/MIME Control XP SP2 Exchange >

16 Základy: Šifrování Jak vytvořit certifikáty
Privátní klíč Uživatel Pár klíčů Veřejný/privátní počítač Veřejný klíč A user, computer, service, or application creates the public/private key pair. The public key is transmitted to the certification authority (CA) by using a secure network connection. The Certified Administrator reviews the certificate request to verify the information. Upon approval, the Certified Administrator signs the public key with the private key of the CA. Common uses of Certificates 802.1x wireless communication Digital certificates Encryption File System (EFS) Internet authentication IP Security (IPSec) Secure Smart card logon Software code signing Software restriction policy Služby Aplikace Certifikační autorita Oprávněný správce

17 Poštovní klienti OE O2K3 - Žádost o certifikát (GetDigitalID, PublishToGAL), nastavení registrů Podpis a šifrování Revokace certifikátu Outlook Web Access – S/MIME Control

18 Archivace privátních klíčů
Jen pro šifrování – vlastní šablona V případě čipových karet se privátní klíč negeneruje na kartě pro „šifrovací“ certifikáty Obnova klíčů

19 Archivace klíčů - Demo Obnova privátního klíče pro šifrování

20 5 kroků k bezpečným emailům (S/MIME)
Nainstalujte službu IIS Nainstalujte službu Certifikační Autority(CA) Upravte Exchange mailbox store pro podporu zpráv S/MIME Získejte Digitální certifikát z CA Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv 

21 Odkazy Exchange Server 2003 Message Security Guide
Windows Server 2003 Certification Authority • Troubleshooting Certificate Status and Revocation ( MSA Enterprise Design for Certificate Services ( PKI Enhancements in Windows XP Professional and Windows Server 2003 ( Public Key Infrastructure for Windows Server 2003 ( Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure ( Certificate Autoenrollment in Windows Server 2003 ( Implementing and Administering Certificate Templates in Windows Server 2003 ( Key Archival and Management in Windows Server 2003 ( Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003 ( Windows Server 2003 PKI Operations Guide ( Outlook 2003 Overview of Cryptography in Outlook 2003 ( Where to Get Your Digital ID ( Digital ID ( Microsoft Office 2003 Editions Resource Kit ( Information Rights Management in Microsoft Office 2003 ( Microsoft Knowledge Base Articles OL2000: XCLN: Updated Outlook Security Features Installed with Office 2000 SR-1 ( Overview of Mobile Devices That Are Supported by Outlook Mobile Access ( 'Allow Create Top Level Public Folder' Access Control Entry for the Exchange Organization Container Unexpectedly Includes the Everyone and the Anonymous Logon Groups ( You Receive an Error Message When You Try to Forward or to Reply to a Digitally Signed Message ( Outlook 2003 Continues to Use Old Certificates After You Migrate from Key Management Server to Public Key Infrastructure ( Other Web Sites Microsoft Baseline Security Analyzer ( • S/MIME Version 2 Certificate Handling (RFC 2311) ( S/MIME Version 2 Certificate Handling (RFC 2312) ( S/MIME Version 3 Certificate Handling (RFC 2632) ( S/MIME Version 3 Message Specification (RFC 2633) ( Enhanced Security Services for S/MIME (RFC 2634) ( Definition of the inetOrgPerson LDAP Object Class (RFC 2798) (   Note The third-party Web site information is provided to help you find the technical information you need. The URLs are subject to change without notice. Other Resources Besides the resources cited in this book, you may find the following resources useful in your implementation of Microsoft® Exchange Server 2003. Web Sites Exchange Server 2003 Technical Library ( Exchange Server 2003 Tools and Updates ( Microsoft Developer Network (MSDN®) ( Microsoft security Web site ( TechNet security Web site ( Exchange Server 2003 Books What's New in Exchange Server 2003 ( Planning an Exchange Server 2003 Messaging System ( Exchange Server 2003 Deployment Guide ( Exchange Server 2003 Administration Guide ( Exchange Product Team technical articles and books Exchange Tools and Updates Self-extracting executable containing all Exchange Product Team technical articles and books

22 © 2005 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

23 Projekt S/MIME Počátek Plánování Draft šablony Šablona Implementace
Nasazení Ukončení Testování Vývoj Implementace Šablona Draft šablony Plánování Počátek