Elektronické podepisování a šifrování zpráv (S/MIME) MSG007_300 Microsoft Advanced Technologies Ladislav Šolc Security Systems Engineer Microsoft ČR&SK
Elektronické podepisování a šifrování zpráv (S/MIME) Agenda Základní předpoklady Příprava prostředí Windows Server 2003 Příprava Exchange Server 2003 Příprava E-mail klienta
5 kroků k bezpečným emailům Nainstalujte službu IIS Nainstalujte službu Certifikační Autority(CA) Upravte Exchange mailbox store pro podporu zpráv S/MIME Získejte Digitální certifikát z CA Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv
Proč podepisovat Falešný email Falešný email s objednávkou From: support@microsoft.com Subject: Microsoft Security Bulletin Message: Unchecked Buffer in Windows Explorer Could Enable System Compromise (329390) Summary Who should read this bulletin: Customers using Microsoft Windows 95,98,2K,ME,XP Impact of vulnerability: Run code of an attacker's choice Maximum Severity Rating: Critical Recommendation: Customers using Microsoft Windows 95,98,2K,ME,XP should apply the patch immediately. Attachment: patch.zip or patch_329390.exe Falešný email Falešný email s objednávkou Falešný email s obchodní nabídkou Falešný email s přílohou Falešný email se zrušením akce … a šifrovat Citlivé emaily uvnitř společnosti Citlivé emaily pro partnery a zákazníky
Cíle a plány Poskytnout mechanismus, který zaručí autentickou komunikaci mezi interními uživateli, zákazníky a partnery Vytvoření univerzálních pravidel a podmínek pro bezpečnou komunikaci (pobočky, jazyk) Zajistit nepopiratelnou odpovědnost za odesílané emaily Ověření pomocí čipových karet – pro odpovědné autory Vyškolit uživatele a tím je naučit používat bezpečný email
Řešení: S/MIME S/MIME se integruje se technologiemi Public Key Infrastructure (PKI) , zatímco PGP je zaměřeno na samostatné uživatele (kontrola, důvěra, administrace) S/MIME je určena pro práci v Internetu nebo v rozsáhlých podnikových prostředích S/MIME je známa jako protokol pro bezpečnou emailovou komunikaci v moderním světě V implementaci S/MIME je k dosažení důvěry z pravidla použita Certifikační autorita (CA). Každý uživatel vlastní certifikát s veřejným klíčem, který je podepsaný touto CA CA může být interní nebo veřejná
Řešení: S/MIME Kritéria S/MIME PGP Popis Secure/MIME v3 (Multi-purpose Internet Mail Exchange) RFC 2633 Pretty Good Privacy RFC 1991 Síla šifrování Vysoká Používá PKI Ano Ne Typ důvěry CA->Uživatel Uživatel<>Uživatel Stupeň důvěry Vysoký Nízký
Privátní klíč zná odesílatel i příjemce Základy: Šifrování Symetrická šifra Privátní klíč zná odesílatel i příjemce Data Data Zašifrování Rozšifrování Cryptography protects data from being viewed or modified and provides secure channels of communication over otherwise insecure channels. For example, data can be encrypted by using a cryptographic algorithm, transmitted in an encrypted state, and later decrypted by the intended party. If a third party intercepts the encrypted data, it is difficult to decipher the data. Cryptography is used to achieve the following goals: Confidentiality: Protect a user’s identity or data from being read. Data integrity: Protect data from being altered. Authentication: Verify that data originates from a particular party. Asymetrická šifra Alice Bob Šifrovací klíč Veřejný klíč Privátní klíč
Základy: Šifrování Digitální podpisy Alice Bob Email Hash algoritmus Email Hash algoritmus Veřejný klíč Alice Hash Hash Cryptographic signing ensures that data originates from a specific party by creating a digital signature that is unique to that party. This process also uses hash functions. The following occurs when data is signed with a digital signature: A hash algorithm is applied to the data to create a hash value. The hash value is encrypted with User A’s private key, thereby creating the digital signature. The digital signature and the data are sent to User B. The following occurs when digitally signed data is decrypted: User B decrypts the signature by using User A’s public key and then recovers the hash value. If the signature can be decrypted, User B knows that the data came from User A (or the owner of the private key). The hash algorithm is applied to the data to create a second hash value. The two hash values are compared. If the hash values match, User B knows that the data has not been modified. Privátní klíč Alice Jestliže souhlasí hodnota hash, data data jsou od vlastníka privátního klíče a jsou správná a nezměněná Hash
3 oblasti důležité pro S/MIME
PKI Active Directory – LDAP úložiště Certifikační služba (CA) Certifikáty a veřejné klíče – uživatelů, CA CRL – Seznamy zneplatněných certifikátů Automatické vydávání certifikátů Certifikační služba (CA) Vydává certifikáty podle šablon – man./aut. Zneplatňuje existující certifikáty na CRL Zálohuje privátní klíče pro určité typy certifikátů
Atribut UserSMIMECertificate, UserCertificate PKI PKI Health tool CA - Příprava šablon Uložení Certifikátu uživatele v AD Atribut UserSMIMECertificate, UserCertificate
Microsoft Exchange Server 2003 Exchange 2003 v podstatě přenechává funkce operačnímu systému a klientům Konfigurace podpory formátu S/MIME Kompatibilita s Event sinks Kompatibilita s Antivirem
Exchange Store Podpora formátu S/MIME
Poštovní klient POP3, IMAP4 – Outlook Express Outlook 2003 MAPI GetDigitalID, PublishToGAL Outlook Web Access S/MIME Control XP SP2 Exchange > http://support.microsoft.com/?id=883543
Základy: Šifrování Jak vytvořit certifikáty Privátní klíč Uživatel Pár klíčů Veřejný/privátní počítač Veřejný klíč A user, computer, service, or application creates the public/private key pair. The public key is transmitted to the certification authority (CA) by using a secure network connection. The Certified Administrator reviews the certificate request to verify the information. Upon approval, the Certified Administrator signs the public key with the private key of the CA. Common uses of Certificates 802.1x wireless communication Digital certificates Encryption File System (EFS) Internet authentication IP Security (IPSec) Secure e-mail Smart card logon Software code signing Software restriction policy Služby Aplikace Certifikační autorita Oprávněný správce
Poštovní klienti OE O2K3 - Žádost o certifikát (GetDigitalID, PublishToGAL), nastavení registrů Podpis a šifrování Revokace certifikátu Outlook Web Access – S/MIME Control
Archivace privátních klíčů Jen pro šifrování – vlastní šablona V případě čipových karet se privátní klíč negeneruje na kartě pro „šifrovací“ certifikáty Obnova klíčů
Archivace klíčů - Demo Obnova privátního klíče pro šifrování
5 kroků k bezpečným emailům (S/MIME) Nainstalujte službu IIS Nainstalujte službu Certifikační Autority(CA) Upravte Exchange mailbox store pro podporu zpráv S/MIME Získejte Digitální certifikát z CA Připravte klienta Microsoft Outlook 2003 nebo Outlook Web Access (OWA) pro elekronické podepisování a šifrování zpráv
Odkazy Exchange Server 2003 Message Security Guide Windows Server 2003 Certification Authority • Troubleshooting Certificate Status and Revocation (http://go.microsoft.com/fwlink/?LinkId=21760)• MSA Enterprise Design for Certificate Services (http://go.microsoft.com/fwlink/?LinkId=21761)• PKI Enhancements in Windows XP Professional and Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21762)• Public Key Infrastructure for Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21763)• Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure (http://go.microsoft.com/fwlink/?LinkId=17800)• Certificate Autoenrollment in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17801)• Implementing and Administering Certificate Templates in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17802)• Key Archival and Management in Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17803)• Planning and Implementing Cross-Certification and Qualified Subordination Using Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17806)• Windows Server 2003 PKI Operations Guide (http://go.microsoft.com/fwlink/?LinkId=17807) Outlook 2003 Overview of Cryptography in Outlook 2003 (http://go.microsoft.com/fwlink/?LinkId=17808)• Where to Get Your Digital ID (http://go.microsoft.com/fwlink/?LinkId=21756)• Digital ID (http://go.microsoft.com/fwlink/?LinkId=22621)• Microsoft Office 2003 Editions Resource Kit (http://go.microsoft.com/fwlink/?LinkId=21757)• Information Rights Management in Microsoft Office 2003 (http://go.microsoft.com/fwlink/?LinkId=21758) Microsoft Knowledge Base Articles OL2000: XCLN: Updated Outlook Security Features Installed with Office 2000 SR-1 (http://go.microsoft.com/fwlink/?linkid=3052&kbid=249780)• Overview of Mobile Devices That Are Supported by Outlook Mobile Access (http://go.microsoft.com/fwlink/?LinkID=3052&kbid=821835)• 'Allow Create Top Level Public Folder' Access Control Entry for the Exchange Organization Container Unexpectedly Includes the Everyone and the Anonymous Logon Groups (http://go.microsoft.com/fwlink/?LinkId=3052&kbid=822576)• You Receive an Error Message When You Try to Forward or to Reply to a Digitally Signed E-Mail Message (http://go.microsoft.com/fwlink/?linkid=3052&kbid=816830)• Outlook 2003 Continues to Use Old Certificates After You Migrate from Key Management Server to Public Key Infrastructure (http://go.microsoft.com/fwlink/?linkid=3052&kbid=822504) Other Web Sites Microsoft Baseline Security Analyzer (http://go.microsoft.com/fwlink/?LinkId=17809) • S/MIME Version 2 Certificate Handling (RFC 2311) (http://www.ietf.org/rfc/rfc2311.txt)• S/MIME Version 2 Certificate Handling (RFC 2312) (http://www.ietf.org/rfc/rfc2312.txt)• S/MIME Version 3 Certificate Handling (RFC 2632) (http://www.ietf.org/rfc/rfc2632.txt)• S/MIME Version 3 Message Specification (RFC 2633) (http://www.ietf.org/rfc/rfc2633.txt)• Enhanced Security Services for S/MIME (RFC 2634) (http://www.ietf.org/rfc/rfc2634.txt)• Definition of the inetOrgPerson LDAP Object Class (RFC 2798) (http://www.ietf.org/rfc/rfc2798.txt) Note The third-party Web site information is provided to help you find the technical information you need. The URLs are subject to change without notice. Other Resources Besides the resources cited in this book, you may find the following resources useful in your implementation of Microsoft® Exchange Server 2003. Web Sites Exchange Server 2003 Technical Library (http://www.microsoft.com/exchange/library)• Exchange Server 2003 Tools and Updates (http://www.microsoft.com/exchange/2003/updates)• Microsoft Developer Network (MSDN®) (http://msdn.microsoft.com/)• Microsoft security Web site (http://www.microsoft.com/security)• TechNet security Web site (http://go.microsoft.com/fwlink/?LinkID=5936) Exchange Server 2003 Books What's New in Exchange Server 2003 (http://go.microsoft.com/fwlink/?LinkId=21765)• Planning an Exchange Server 2003 Messaging System (http://go.microsoft.com/fwlink/?LinkId=21766)• Exchange Server 2003 Deployment Guide (http://go.microsoft.com/fwlink/?LinkId=21768)• Exchange Server 2003 Administration Guide (http://go.microsoft.com/fwlink/?LinkId=21769) Exchange Product Team technical articles and books http://www.microsoft.com/exchange/library• Exchange Tools and Updates http://www.microsoft.com/exchange/updates• Self-extracting executable containing all Exchange Product Team technical articles and books http://go.microsoft.com/fwlink/?LinkId=10687
© 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Projekt S/MIME Počátek Plánování Draft šablony Šablona Implementace Nasazení Ukončení Testování Vývoj Implementace Šablona Draft šablony Plánování Počátek