Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300 Ladislav Šolc Security Systems Engineer Microsoft ČR&SK Microsoft Advanced Technologies.

Podobné prezentace


Prezentace na téma: "Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300 Ladislav Šolc Security Systems Engineer Microsoft ČR&SK Microsoft Advanced Technologies."— Transkript prezentace:

1 Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300 Ladislav Šolc Security Systems Engineer Microsoft ČR&SK Microsoft Advanced Technologies

2 Elektronické podepisování a šifrování zpráv (S/MIME) Agenda Základní předpoklady Příprava prostředí Windows Server 2003 Příprava Exchange Server 2003 Příprava klienta

3 5 kroků k bezpečným ům 1.Nainstalujte službu IIS 2.Nainstalujte službu Certifikační Autority(CA) 3.Upravte Exchange mailbox store pro podporu zpráv S/MIME 4.Získejte Digitální certifikát z CA 5.Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv 5.Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv

4 Proč podepisovat Falešný Falešný s objednávkou Falešný s obchodní nabídkou Falešný s přílohou Falešný se zrušením akce … a šifrovat Citlivé y uvnitř společnosti Citlivé y pro partnery a zákazníky From: Subject: Microsoft Security Bulletin Message: Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390) Summary Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP Impact of vulnerability: Run code of an attacker's choice Maximum Severity Rating: Critical Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately. Attachment: patch.zip or patch_ exe

5 Cíle a plány Poskytnout mechanismus, který zaručí autentickou komunikaci mezi interními uživateli, zákazníky a partnery Vytvoření univerzálních pravidel a podmínek pro bezpečnou komunikaci (pobočky, jazyk) Zajistit nepopiratelnou odpovědnost za odesílané y Ověření pomocí čipových karet – pro odpovědné autory Vyškolit uživatele a tím je naučit používat bezpečný

6 Řešení: S/MIME S/MIME se integruje se technologiemi Public Key Infrastructure (PKI), zatímco PGP je zaměřeno na samostatné uživatele (kontrola, důvěra, administrace) S/MIME je určena pro práci v Internetu nebo v rozsáhlých podnikových prostředích S/MIME je známa jako protokol pro bezpečnou ovou komunikaci v moderním světě V implementaci S/MIME je k dosažení důvěry z pravidla použita Certifikační autorita (CA). Každý uživatel vlastní certifikát s veřejným klíčem, který je podepsaný touto CA CA může být interní nebo veřejná

7 Řešení: S/MIME Krit é ria S/MIMEPGPPopis Secure/MIME v3 (Multi-purpose Internet Mail Exchange) RFC 2633 Pretty Good Privacy RFC 1991 S í la š ifrov á n í Vysok á Použív á PKI AnoNeNe Typ důvěry CA->UživatelUživatel<>Uživatel Stupeň důvěry Vysoký N í zký

8 Základy: Šifrování Data ZašifrováníRozšifrování Privátní klíč zná odesílatel i příjemce Bob Veřejný klíč Šifrovací klíč Alice Asymetrická šifra Symetrická šifra Privátní klíč

9 AliceBob Hash algoritmus Privátní klíč Alice Hash Veřejný klíč Alice Hash algoritmus Hash Jestliže souhlasí hodnota hash, data data jsou od vlastníka privátního klíče a jsou správná a nezměněná Základy: Šifrování Digitální podpisy

10 3 oblasti důležité pro S/MIME

11 PKI Active Directory – LDAP úložiště Certifikáty a veřejné klíče – uživatelů, CA CRL – Seznamy zneplatněných certifikátů Automatické vydávání certifikátů Certifikační služba (CA) Vydává certifikáty podle šablon – man./aut. Zneplatňuje existující certifikáty na CRL Zálohuje privátní klíče pro určité typy certifikátů

12 PKIPKI PKI Health tool CA - Příprava šablon Uložení Certifikátu uživatele v AD Atribut UserSMIMECertificate, UserCertificate

13 Microsoft Exchange Server 2003 Exchange 2003 v podstatě přenechává funkce operačnímu systému a klientům Konfigurace podpory formátu S/MIME Kompatibilita s Event sinks Kompatibilita s Antivirem

14 Exchange Store Podpora formátu S/MIME

15 Poštovní klient POP3, IMAP4 – Outlook Express Outlook 2003 MAPI GetDigitalID, PublishToGAL Outlook Web Access S/MIME Control XP SP2 Exchange >

16 Základy: Šifrování Jak vytvořit certifikáty Privátní klíč Pár klíčů Veřejný/privátní Uživatel Aplikace počítač Služby Oprávněný správce Certifikační autorita Veřejný klíč

17 Poštovní klienti OE O2K3 - Žádost o certifikát (GetDigitalID, PublishToGAL), nastavení registrů Podpis a šifrování Revokace certifikátu Outlook Web Access – S/MIME Control

18 Archivace privátních klíčů Jen pro šifrování – vlastní šablona V případě čipových karet se privátní klíč negeneruje na kartě pro „šifrovací“ certifikáty Obnova klíčů

19 Archivace klíčů - Demo Obnova privátního klíče pro šifrování

20 5 kroků k bezpečným ům (S/MIME) 1.Nainstalujte službu IIS 2.Nainstalujte službu Certifikační Autority(CA) 3.Upravte Exchange mailbox store pro podporu zpráv S/MIME 4.Získejte Digitální certifikát z CA 5.Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv 5.Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv

21 Exchange Server 2003 Message Security Guide Exchange Server 2003 Message Security Guide Windows Server 2003 Certification Authority • Troubleshooting Certificate Status and Revocation (http://go.microsoft.com/fwlink/?LinkId=21760)• MSA Enterprise Design for Certificate Services (http://go.microsoft.com/fwlink/?LinkId=21761)• PKI Enhancements in Windows XP Professional and Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21762)• Public Key Infrastructure for Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21763)• Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (http://go.microsoft.com/fwlink/?LinkId=17800)• Certificate Autoenrollment in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17801)• Implementing and Administering Certificate Templates in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17802)• Key Archival and Management in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17803)• Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17806)• Windows Server 2003 PKI Operations Guide (http://go.microsoft.com/fwlink/?LinkId=17807) Outlook 2003• Overview of Cryptography in Outlook 2003 (http://go.microsoft.com/fwlink/?LinkId=17808)• Where to Get Your Digital ID (http://go.microsoft.com/fwlink/?LinkId=21756)• Digital ID (http://go.microsoft.com/fwlink/?LinkId=22621)• Microsoft Office 2003 Editions Resource Kit (http://go.microsoft.com/fwlink/?LinkId=21757)• Information Rights Management in Microsoft Office 2003 (http://go.microsoft.com/fwlink/?LinkId=21758) Microsoft Knowledge Base Articles • OL2000: XCLN: Updated Outlook Security Features Installed with Office 2000 SR-1 (http://go.microsoft.com/fwlink/?linkid=3052&kbid=249780)• Overview of Mobile Devices That Are Supported by Outlook Mobile Access (http://go.microsoft.com/fwlink/?LinkID=3052&kbid=821835)• 'Allow Create Top Level Public Folder' Access Control Entry for the Exchange Organization Container Unexpectedly Includes the Everyone and the Anonymous Logon Groups (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=822576)• You Receive an Error Message When You Try to Forward or to Reply to a Digitally Signed Message (http://go.microsoft.com/fwlink/?linkid=3052&kbid=816830)• Outlook 2003 Continues to Use Old Certificates After You Migrate from Key Management Server to Public Key Infrastructure (http://go.microsoft.com/fwlink/?linkid=3052&kbid=822504) Other Web Sites • Microsoft Baseline Security Analyzer (http://go.microsoft.com/fwlink/?LinkId=17809) • S/MIME Version 2 Certificate Handling (RFC 2311) (http://www.ietf.org/rfc/rfc2311.txt)• S/MIME Version 2 Certificate Handling (RFC 2312) (http://www.ietf.org/rfc/rfc2312.txt)• S/MIME Version 3 Certificate Handling (RFC 2632) (http://www.ietf.org/rfc/rfc2632.txt)• S/MIME Version 3 Message Specification (RFC 2633) (http://www.ietf.org/rfc/rfc2633.txt)• Enhanced Security Services for S/MIME (RFC 2634) (http://www.ietf.org/rfc/rfc2634.txt)• Definition of the inetOrgPerson LDAP Object Class (RFC 2798) (http://www.ietf.org/rfc/rfc2798.txt) Note Note The third-party Web site information is provided to help you find the technical information you need. The URLs are subject to change without notice. Other Resources Besides the resources cited in this book, you may find the following resources useful in your implementation of Microsoft® Exchange Server Web Sites • Exchange Server 2003 Technical Library (http://www.microsoft.com/exchange/library)• Exchange Server 2003 Tools and Updates (http://www.microsoft.com/exchange/2003/updates)• Microsoft Developer Network (MSDN®) (http://msdn.microsoft.com/)• Microsoft security Web site (http://www.microsoft.com/security)• TechNet security Web site (http://go.microsoft.com/fwlink/?LinkID=5936) Exchange Server 2003 Books • What's New in Exchange Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21765)• Planning an Exchange Server 2003 Messaging System (http://go.microsoft.com/fwlink/?LinkId=21766)• Exchange Server 2003 Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=21768)• Exchange Server 2003 Administration Guide (http://go.microsoft.com/fwlink/?LinkId=21769) • Exchange Product Team technical articles and books Exchange Tools and Updates Self-extracting executable containing all Exchange Product Team technical articles and books Odkazy

22 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

23 Projekt S/MIME Počátek Plánování Implementace Ukončení Šablona Draft šablony Vývoj Testování Nasazení


Stáhnout ppt "Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300 Ladislav Šolc Security Systems Engineer Microsoft ČR&SK Microsoft Advanced Technologies."

Podobné prezentace


Reklamy Google