|
|
 |
 |
|
 Messaging Server - Benefit
| Messaging Server - Zustellung und Mailclients
|
Messaging Server - Arbeitsweise |
| |
|
|
Risikominderung vs.Produktivität |
Um E-Mail als Kommunikationsmedium für sensitive Informationen verwenden zu können, muss es Möglichkeiten zur Absicherung dieser geben, die vergleichbar sind zu jenen der physischen Welt. Jedoch ist Sicherheitsfunktionalität alleine noch nicht genug, die Kommunizierenden müssen diese auch verwenden, bzw.auch in der Lage sein, sie zu verwenden. Natürlich sind Compliance- oder Sicherheitsverantwortliche am meisten an der Risikominderung bzw. Compliance interessiert, doch sollten sie auch die Produktivität der Organisation im Auge behalten.
Um erfolgreich Verwendung zu finden, müssen Sicherheitsanwendungen einfach in der Verwendung und interoperalbel mit den Anwendungsumgebungen der Empfänger sein, sodaß die Benutzer die Art und Weise der Zusammenarbeit und Informationsaustausch nicht geändert werden muss. Es darf nicht notwendig sein die innere Arbeitsweise von E-Mailsicherheit verstehen zu müssen, so ist es genauso problematisch wenn ein Benutzer permanent entscheiden muss, "Was" er "Wann" für "Wen", und vor allem "Wie" zu verschlüsseln hat.
Entrust Entelligence Messaging Server (EMS) adressiert viele dieser Anforderungen an abgesicherter E-Mailkommunikation mit Angestellten, Kunden und Geschäftspartner. EMS basiert auf einer zentralen Server-Appliance, womit Aufsetzen und Management dieser Lösung sehr effizient ablaufen kann. Die EMS-Architektur ermöglicht flexibel zwischen unterschiedlichen sicheren Zustellungsmethoden zu wählen, wie z.b. als Web-Mail. und basiert auf offenen Standards. EMS kann zusammen mit anderen Perimeter Absicherungen wie Scan nach Viren, Spam sowie Content Monitoring und Analyse Lösungen betrieben werden. Man muss also auf diese wichtigen Dienste nicht verzichten, wenn man E-Mail-Inhalte verschlüsseln will.
|
Hauptmerkmale von EMS |
 |
Web-basierte Konfiguration und Administration |
|
Single oder Multi-node Appliance Architektur mit einegebauter Clusteringfähigkeit |
|
Kundengesteuerte Software- und Migrationsservice |
|
Flexible Gestaltung der gesicherten Zustellung — per Empfänger, per Domäne, und Systemvorgabe |
|
Interoperabilität mit externen S/MIME und OpenPGP Mailclients |
|
Automatisiertes Credential Management für S/MIME und OpenPGP, basierend auf Sammeln der Schlüssel und Zertifikate |
|
Integration mit Content Monitoring und Analyse Services, erlaubt das Filtern von verschlüsselter E-Mail. |
|
Interoperabilität mit den CAs von Microsoft oder Entrust |
|
Unterstützung des nativen Lotus Notes security Formats und Identitäten. |
|
Grundsätzliche Arbeitsweise von EMS |
Entrust Entelligence Messaging Server erlaubt unterschiedliche Modelle E-Mail Verschlüsselung und flexible Möglichkeiten der Zustellung um die Anforderungen von internen und externen Benutzern zu erfüllen. Auf der Messaging Server Appliance läuft eine E-Mail Verschlüsselungs und Entschlüsselungs Anwendung. Diese Anwendung verschlüsselt die E-Mailnachrichten serverseitig bevor sie zum Empfänger weitergesendet wird. Das unterscheided EMS von anderen E-Mailverschlüsselungslösungen, bei denen die Verschlüsselung komplett clientseitig abläuft.
In einem Ende-zu-Ende Verschlüsselungsszenario mit EMS sendet der Absender seine E-Mail wie gewohnt an den Empfänger, allerdings wird die Nachricht erstmal für den Messaging Server verschlüsselt. Dort wird sie umgeschlüsselt für den Empfänger nach dessen konfigurierten Methode. Der Absender muss keine Verschlüsselungsschlüssel mit dem Empfänger austauschen, bzw. dessen bevorzugte Methode kennen um ihm ein abgesichertes E-Mail zu senden. Content Scan und andere Compliance-Maßnahmen können am kurzzeitig unverschlüsselten Mail am Server durchgeführt werden.
|
|
|
|
|
"Harvesting" von S/MIME und PGP-Schlüssel |
Obwohl S/MIME und OpenPGP mit den gängigen E-Mailclients eingesetzt werden kann, wird sie von den meisten dennoch als schwierig zu verwenden gesehen. Einer der Herausforderungen für den gemeinen Benutzer ist der Schlüsselaustausch, d.h. wie bekommt man das Zertifikat der Person, der man ein verschlüsseltes E-Mail senden will. Individueller Schlüsseltausch ist zwar relativ simple, aber in großen Organisation schnell undurchführbar weil nicht gut skaliebar. Zertifikatssuche in LDAP Directories ist möglich, aber nur wenige wollen das Directory frei im Internet zugänglichmachen.
Der Entrust Entelligence Messaging Server findet einen Mittelweg und unterstützt automatisiertes Einsammeln der Schlüssel und Zertifikate, genannt "harvesting".
- wenn ein Schlüssel oder Zertifikat eine E-Mailempfängers nicht im Directory oder lokalen Datenbank enthalten ist, sendet der Messaging Server ein Mail an den Empfänger in dem das Zertifikat angefordert wird.
- der Empfänger antwortet auf die Anforderung und signiert diese Nachricht mit seinem Zertifikat.
- bei Erhalt der signierten Antwort nimmt der Messaging Server das Zertifikat und speichert es in seiner Datenbank für zukünftige Verwendung (für jeden Benutzer in der Organisation).
- natürlich sind mehrere Modelle für Etablierung des Trusts bei gesammelten Zertifikaten möglich.
- Nachrichten in der Warteschlange werden nun mit diesem Zertifikat verschlüsselt zugestellt.
Zusätzlich zum Sammeln von bestehenden Zertifikaten und Schlüsseln kann EMS nun S/MIME Zertifikate für die Empfänger, die kein Verschlüsselungszertiifkat haben, generieren.
Verwaltung externer Zertifikate
Der Messaging Server übernimmt die Verwaltung der externen Zertifikate. Während in herkömmlichen E-Mailverschlüsselungen, die mühsam gesammelten Empfängerzertifikate, über den Zeitablauf ungültig werden und für die nächste verschlüsselte E-Mail nochmals eingeholt werden müssen, übernimmt diese Aufgaben der Entrust Messaging Server. Die Zertifikate werden vom Empfänger eingesammelt indem dieser bloß signiert antworten muss, EMS verwaltet aber diese Zertifikate und verlangt bei Zeitablauf des Zertifikats das erneuerte Zertifikat vom Empfänger, sodass ab sofort die neuen Zertifikate für die E-Mailkommunikation verwendet werden.
|
Certification Authority (On-Board, MS, Entrust) |
Der Entrust Entelligence Messaging Server besitzt on-board auch eine eigene Certification Authority die automatisch während des ersten Startups konfiguriert wird und Zertifikate an interne und externe Benutzer austellen kann.
- Generieren von S/MIME Proxy Zertificates für interne Benutzer
- Einsammeln von S/MIME (oder OpenPGP) Zertifikaten von externen Benutzern.
- Generieren von S/MIME Zertifikaten für externe Benutzer
- Import der existierenden internen Endbenutzerzertifikate
- EMS Integriert mit einer off-board Entrust CA
Oftmals wird PKI wegen deren Komplexität schlechtgeredet, aber mit EMS erhält man die Vorteile einer CA während die Komplexität durch die Appliance aufgefangen wird.
|
Web-basiertes abgesichertes E-Mail |
Der Entrust Entelligence Messaging Server bietet auch SSL-gesichertes web-basierte E-Mailzustellung an, so werden auch jene E-Mailempfänger erreicht und mit abgesichertem E-Mail versorgt, die keine S/MIME oder OpenPGP Möglichkeit haben oder nicht verwenden wollen. Dieses Lösungsmerkmal erlaubt es Empfängern, verschlüsselte E-Mails über den Web-browser zu erhalten und auch zu antworten. Man kann hierbei aus zwei Modellen der Zustellung wählen: WebMail Pull und WebMail Push.
Bei WebMail Pull erhalten die Empfänger eine Benachrichtigung, dass eine verschlüsselte E-Mail für sie bereitliegt, die Sie durch Anklicken der mitgesendeten URL aufrufen können. Bei WebMail Push wird der gesamte Inhalt des E-Mails in verschlüsselter Form an den Empfänger gesendet, dieser kann das E-Mail nur mit einem Code entschlüsseln, den er durch eine erfolgreiche Authentikation an EMS erhält.
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
