GlobalSign Blog

24 Nov 2014

S/MIME zur E-Mail Verschlüsselung einsetzen? Grundlagen der Schlüsselwiederherstellung

S/MIME, oder Secure/Multipurpose Internet Mail Extensions, ist der Industriestandard zur Verschlüsselung von öffentlichen Schlüsseln für MIME-basierte (nachrichtenbasierte) Daten und ist eine zunehmend beliebte Option für Unternehmen, die daran interessiert sind, die interne Kommunikation zu verschlüsseln.

Während die Benutzerfreundlichkeit für Endanwender und native Kompatibilität mit Unternehmens-E-Mail-Clients ein großer Anreiz sind, tauchen oft Fragen rund um das Verlassen auf private Schlüssel auf, nämlich - "was passiert, wenn ich meinen privaten Schlüssel verliere?"

Die Bedeutung von privaten Schlüsseln

S/MIME nutzt Kryptografie mit öffentlichen Schlüsseln zum Verschlüsseln und Entschlüsseln von Content. Wenn jemand Ihnen eine verschlüsselte Nachricht senden möchte, verwendet er Ihren öffentlichen Schlüssel, um diese zu verschlüsseln. Dann verwenden Sie Ihren privaten Schlüssel zum Entschlüsseln. Das bedeutet, ohne Ihren privaten Schlüssel können Sie keine verschlüsselten E-Mails lesen, die Sie erhalten haben. Es ist einfach einzusehen, warum dies zu Problemen führen könnte.

Was ist Schlüsselwiederherstellung?

Private Schlüssel werden in der Regel in der Software oder im Betriebssystem gespeichert, die Sie verwenden (oder auf kryptografischer Hardware, wie USB oder HSM). Aber sie können auch als Back-up an einen sicheren Ort exportiert und gespeichert werden. Mit Schlüsselarchivierung und -wiederherstellung können verschlüsselte Daten vor dauerhaftem Verlust geschützt werden, wenn zum Beispiel ein Betriebssystem neu installiert werden muss, das Benutzerkonto, für das der Verschlüsselungsschlüssel ursprünglich ausgestellt wurde, nicht mehr verfügbar ist, oder wenn der Schlüssel irgendwie nicht mehr zugänglich ist.

Schlüssel archivieren und wiederherstellen

Es gibt immer eine Abwägung zwischen Sicherheit und Praktikabilität und die Schlüsselwiederherstellung ist ein Beispiel dafür. Schlüsselarchivierung und -wiederherstellung sind standardmäßig nicht aktiviert, da die Speicherung privater Schlüssel an mehreren Orten eine Sicherheitslücke darstellen kann. Gleichzeitig wollen Sie nicht das Risiko eingehen, dass Sie nicht auf Ihre verschlüsselten Daten zugreifen können, falls Sie den Zugriff auf den privaten Schlüssel verlieren. Es ist wichtig, einen Schritt zurückzugehen und zu überlegen, welche Zertifikate durch Schlüsselarchivierung und -wiederherstellung abgedeckt werden sollten und auch zu bestimmen, wer Zugang zur Wiederherstellung der archivierten Schlüssel haben soll.

Es gibt zwei Hauptoptionen für die Archivierung von privaten Schlüsseln:

Manuelle Schlüsselarchivierung

Benutzer exportieren ihre privaten Schlüssel manuell und senden sie an einen bestimmten PKI- oder CA-Administrator, der diese in eine geschützte CA-Datenbank importiert.

Automatische Schlüsselarchivierung

Wenn Sie eine Windows-Umgebung mit Microsoft CA oder eine Integration in eine Fremdanbieter-CA nutzen, können Sie die automatische Schlüsselarchivierung aktivieren. Durch Konfiguration der entsprechenden Zertifikatsvorlage(n), wird der Prozess während der Zertifikatsanmeldung durchgeführt. Zum Beispiel wird bei unserer Active Directory-Integration beim Zertifikatsanmeldungsprozess der private Schlüssel als Teil der Zertifikatsanforderung sicher an den bestimmten Server übertragen und dort archiviert. Die archivierten Schlüssel verlassen nie das Unternehmenssystem und sind geschützt.

S/MIME kann eine tolle Option zur Verschlüsselung von E-Mails sein. Aber wie jede Sicherheitsimplementierung, ist es wichtig, die notwendigen Schritte zu unternehmen, um sicherzustellen, dass Ihre Sicherheitsmaßnahmen die Praktikabilität und Funktionalität berücksichtigen. Wenn Sie erwägen, S/MIME einzusetzen oder es bereits nutzen, empfehlen wir Ihnen dringend, Ihre privaten Schlüssel zu archivieren und sicher zu speichern, oder zumindest die Konsequenzen eines Zugriffsverlusts auf zuvor empfangene verschlüsselte E-Mails zu durchdenken, nur für den Fall, dass Sie in Zukunft den Zugriff auf die privaten Schlüssel verlieren.

Sichere E-Mail Signatur und E-Mail-Verschlüsselung

Artikel teilen

Jetzt Blog abonnieren