-
Die
Erfindung betrifft ein Verfahren zur Übermittlung einer Nachricht,
wobei ein Absender zunächst
eine Anfrage an einen Verzeichnisdienst richtet, aufgrund derer
der Verzeichnisdienst in einem Schlüsselverzeichnis eine Empfängeradresse
sucht, sofern das Schlüsselverzeichnis
die Empfängeradresse
enthält,
einen der Empfängeradresse
in dem Schlüsselverzeichnis
zugeordneten Empfängerschlüssel ausliest
und diesen dem Absender mitteilt, wobei sodann der Absender die
Nachricht mittels des Empfängerschlüssels verschlüsselt und
an die Empfängeradresse übermittelt.
-
Verfahren
der vorgenannten Art sind allgemein bekannt. In den vergangenen
Jahren haben durch den sprunghaften Anstieg der Verbreitung der „elektronischen
Post" (so genannter „eMail") Sicherheitsfragen
im Zusammenhang mit dieser Art der Kommunikation eine gesteigerte
Relevanz erhalten. Insbesondere größere Firmen, Behörden und
Verbände
mit einer Vielzahl von zudem räumlich
verteilt Mitarbeitenden gewährleisten
zunehmend durch die Verwendung von elektronischen Signaturen die
Authentizität
und Integrität
und durch den Einsatz von kryptographischen Verfahren die Vertraulichkeit
der übermittelten
Informationen. Neben verschiedenen proprietären Verfahren kommen hierbei
insbesondere standardisierte Verfahren zum Einsatz, die entweder
wie „S/MIME" („Secure
Multipurpose Internet Mail Extension") auf der Bildung hierarchischer Zertifikatsbäume gemäß dem von
der ITU („International
Telecommunication Union",
www.itu.int) administrierten X.509-Standard für PKI („Public-Key-Infrastruktur") basieren, oder
wie OpenPGP durch ein hierarchieloses „Web of Trust" die Identität des Zertifikatsinhabers
gewährleisten.
-
Neben
der Verteilung werden nach den bekannten Verfahren Verzeichnisdienste
angeboten, über
die Schlüssel
einerseits für
interne Empfängeradressen
aus hausinternen Datenbanken und andererseits für externe Kommunikationspartner
außerdem
aus internationalen Verzeichnissen abgefragt werden können. S/MIME-Zertifikate
werden hierbei zumeist über
Verzeichnisdienste gemäß LDAP („Lightweight
Directory Access Protocol")
bereitgestellt, weil diese von den üblichen Mail-Frontends abgefragt
werden können.
-
Die
bekannten Verfahren bieten keine Möglichkeit, die Verschlüsselung
des eMail-Verkehrs
zu erzwingen, weil für
externe Empfängeradressen
nicht (oder nur in Ausnahmefällen)
grundsätzlich
die Existenz von Schlüsseln
angenonmmen werden kann. Da Empfängeradressen
ohne Schlüssel
nur unverschlüsselte
eMails verarbeiten können,
würde die Unterbindung
unverschlüsselter
Kommunikation zugleich jeden eMail-Austausch mit diesen Empfängern kappen.
-
Wird
in einem LAN unverschlüsselte
Kommunikation zugelassen, so ist aufgrund der technisch prinzipiell
bedingten „Öffentlichkeit" in einem paketvermittelten
Netzwerk die Vertraulichkeit von eMails grundsätzlich nicht gewährleistet:
Jede unverschlüsselte
eMail – auch
beispielsweise eine „Vorstands-eMail" mit personenbezogenem
oder strategischem Inhalt – kann
mit geringem technischen Aufwand von jedem Teilnehmer am Netz mitgelesen werden.
-
Zusätzliche
Sicherheitsfragen wirft unverschlüsselte firmeninterne Kommunikation
auf, wenn Mitarbeitende über
so genannten Push-Dienste eMails mittels mobiler Endgeräte empfangen
und schreiben. In einer allgemein bekannten Implementation eines
solchen Push-Dienstes wird ein Push-Server quasi als interner Teilnehmer
in das LAN eingebunden und vermittelt über eine eigene Internetanbindung
an mehrere weltweit verteilte Knotenrechner des Anbieters und die
Dienste verschiedener Mobilfunkanbieter die eMail-Kommunikation
mit den mobilen Endgeräten.
-
Ein
solcher Push-Server könnte
dabei theoretisch in dem LAN aufgrund der für die Ausführung seiner Aufgabe erforderlichen
Rechtestruktur Zugriff auf alle im Netzwerk verteilten eMails nehmen
und diese über
die Knotenrechner weiterleiten. Da die Knotenrechner außerhalb
der Kontrolle des Betreibers des LAN sind, kann aus dessen Sicht
deren Sicherheit und Vertrauenswürdigkeit
nicht sichergestellt und nachgeprüft werden. Damit besteht zumindest
theoretisch die Gefahr, dass Informationen in nicht authorisierte
Hände fallen.
-
Ist
darüber
hinaus im LAN auch unsignierte Kommunikation erlaubt, so steht zudem
die Authentizität
und die Identität
jeder derartigen eMail grundsätzlich
in Frage, weil eMails mit gefälschter
Identität versandt
oder abgefangen und nachträglich
verändert
werden könnten.
Unsignierte eMails dürfen
nicht nur prinzipiell nicht als rechtlich wirksame Willenserklärung behandelt
werden – wo
unsignierte Kommunikation zugelassen wird, ist zudem die absichtliche Verbreitung
von Falschmeldungen mit dem Ziel, andere Personen zu diskreditieren
(„Mobbing") grundsätzlich nicht
zu verhindern. Insgesamt erhöht
die Zulassung unverschlüsselter
und/oder unsignierter Kommunikation auch im firmeninternen LAN regelmäßig sowohl
den technisch-administrativen Aufwand, als auch die Anforderungen
an die Definition (und die Kontrolle der Einhaltung) von Verhaltensmaßregeln
für die
Kommunikation.
-
Der
Erfindung liegt die Aufgabe zugrunde, in einem LAN die Verschlüsselung
aller Nachrichten zu ermöglichen,
ohne die Auswahl der Kommunikationspartner einzuschränken.
-
Lösung
-
Ausgehend
von den bekannten Verfahren wird nach der Erfindung vorgeschlagen,
dass auf die Anfrage, sofern das Schlüsselverzeichnis die Empfängeradresse
nicht enthält,
ein Schlüsselgenerator einen
Gatewayschlüssel
generiert und diesen dem Absender mitteilt, wobei sodann der Absender
die Nachricht mittels des Gatewayschlüssels verschlüsselt und über ein
Mailgateway (11), das die Nachricht entschlüsselt, schließlich an
die Empfängeradresse übermittelt.
-
Nach
dem erfindungsgemäßen Verfahren wird
einem Absender auf eine entsprechende Anfrage von dem Verzeichnisdienst
oder von dem Schlüsselgenerator
immer ein für
die Verschlüsselung
der Nachricht geeigneter Schlüssel – nämlich entweder der
Empfängerschlüssel oder
der Gatewayschlüssel – mitgeteilt.
Die Verschlüsselung
einer von dem Mailserver von Absendern aus dem LAN zu einer beliebigen
Empfängeradresse
vermittelten Nachricht ist so unabhängig davon, ob zu der Empfängeradresse
in einem internen oder externen Schlüsselverzeichnis ein Empfängerschlüssel existiert.
Die Kommunikation auch mit Empfängeradressen,
zu denen auf die Anfrage kein Empfängerschlüssel ermittelt werden konnte,
ist nach dem erfindungsgemäßen Verfahren gleichwohl
uneingeschränkt
möglich,
da in diesem Fall beim Absender mit dem Gatewayschlüssel verschlüsselt wird:
Erreicht aus dem LAN eine mit diesem Gatewayschlüssel verschlüsselte Nachricht
das Mailgateway, dann wird diese zunächst entschlüsselt und
in entschlüsselter
Form (also in Klartext) an die externe Empfängeradresse weitergeleitet.
In Verbindung mit entsprechenden Verhaltensmaßregeln für die eMail-Kommunikation oder
auch mittels technischer Maßnahmen,
die im LAN den unverschlüsselten
Versand von Nachrichten verbieten oder unmöglich machen, kann das erfindungsgemäße Verfahren die
Verschlüsselung
aller von Absendern im LAN über
das Mailgateway vermittelten Nachrichten sicher stellen.
-
Das
erfindungsgemäße Verfahren
kann in vergleichbarer Form auch mit anderen Nachrichten-Pushdiensten
zum Einsatz kommen. Derartige Dienste zeichnen sich aus durch die
Kommunikation nach einem „store-and-forward"-Prinzip, das die
Abfrage eines Empfängerschlüssels im
Dialog mit dem Empfänger
nicht vorsieht. Der Begriff „Mailgateway" umfasst in diesem
Fall Gateways für
derartige Pushdienste.
-
Bevorzugt
generiert im Rahmen eines erfindungsgemäßen Verfahrens der Schlüsselgenerator einen
auf die Empfängeradresse
personalisierten Gatewayschlüssel.
Ein derartiges erfindungsgemäßes Verfahren
ermöglicht
beim Absender im LAN auch den Einsatz weit verbreiteter eMail-Frontends (wie
beispielsweise Microsoft® Outlook®),
die in gegenüber
den Standards eingeschränkter
Funktionalität
nur die Verwendung personalisierter Zertifikate erlauben.
-
Besonders
bevorzugt wird der Gatewayschlüssel
im Rahmen eines erfindungsgemäßen Verfahrens
in dem Schlüsselverzeichnis
der Empfängeradresse
zugeordnet. Der Gatewayschlüssel
steht dann nach seiner Generierung aus Anlass einer ersten Anfrage
bei weiteren Anfragen aus dem LAN ohne erneute Berechnung zur Verfügung. Ein
derartiges erfindungsgemäßes Verfahren
erfordert einerseits gegenüber
einem Verfahren ohne Speicherung des Gatewayschlüssels (bei angesichts der Preise für Speichermedien
irrelevant erhöhtem
Speicheraufwand) einen geringeren Berechnungsaufwand. Andererseits
muss gewährleistet
sein, dass eine mit dem Gateschlüssel
beim Absender verschlüsselte Nachricht
auch dann noch vom Mailgateway entschlüsselt werden kann, wenn sie
erst einige Zeit später
beim Mailgateway eintrifft. Die Gültigkeitsdauer eines Gatewayschlüssels wird
hierbei vorzugsweise auf wenige Tage, beispielsweise auf eine Woche beschränkt. Der
Gatewayschlüssel
kann insbesondere in einem dem Schlüsselgenerator unmittelbar zugeordneten
Cache gespeichert werden.
-
In
einer vorteilhaften Ausführung
des erfindungsgemäßen Verfahrens
generiert der Schlüsselgenerator
gemeinsam mit dem Gatewayschlüssel
einen diesem zugeordneten Entschlüsselungsschlüssel und
das Mailgateway entschlüsselt
die Nachricht mittels des Entschlüsselungsschlüssels. Ein
derartiges erfindungsgemäße Verfahren
verwendet also ein asymmetrisches Verschlüsselungsverfahren, bei dem
eine Nachricht beim Absender mit einem öffentlichen Schlüssel (hier:
mit dem Gatewayschlüssel) verschlüsselt und
beim Empfänger
(hier: das Mailgateway) mit einem geheimen, nur diesem bekannten „privaten" Schlüssel (hier:
mit dem Entschlüsselungsschlüssel) entschlüsselt wird.
Gegenüber
einem alternativ auch im Rahmen eines erfindungsgemäßen Verfahrens
einsetzbaren symmetrischen Verschlüsselungsverfahren, wobei derselbe
Schlüssel
zum Ver- und Entschlüsseln
verwendet wird, ist die asymmetrische Verschlüsselung weniger anfällig gegen unbeabsichtigte
Verbreitung des zur Entschlüsselung erforderlichen
Schlüssels.
-
Besonders
bevorzugt ist im Rahmen eines erfindungsgemäßen Verfahrens der Gatewayschlüssel Teil
eines Zertifikats. Insbesondere S/MIME-Zertifikate ermöglichen
aufgrund ihrer weiten Verbreitung und der Implementation in allen
relevanten Frontends zumeist auch ohne zusätzliche Programme die Ausführung des
erfindungsgemäßen Verfahrens.
-
Im
Rahmen eines erfindungsgemäßen Verfahrens
wird die Nachricht vorzugsweise von dem Absender über einen
Mailserver an die Empfängeradresse übermittelt.
Der Mailserver kann hierbei insbesondere – wie bei größeren Firmennetzwerken üblich – Teil der
internen Infrastruktur des LAN sein. Das Mailgateway wird dann in
der Regel zwischen dem Mailserver und dem Internet angeordnet. Alternativ kann
das erfindungsgemäße Verfahren
auch im Rahmen eines LAN ohne eigenen Mailserver eingesetzt werden,
wenn die einzelnen Mitarbeitenden im LAN ihre eMail-Nachrichten
von einem externen SMTP-Server
beziehen.
-
Ausführungsbeispiel
-
Die
Erfindung wird nachfolgend anhand eines Ausführungsbeispiels erläutert. Die
Zeichnungsfiguren stellen schematisch unterschiedliche Aspekte der
Ausführung
des erfindungsgemäßen Verfahrens dar.
Es zeigt
-
1 die
Handhabung von Schlüsseln,
-
2 die
Einbindung eines Push-Servers und
-
3 die
Einbindung eines Viren- und Spamschutzes.
-
In
einem kabelgebundenen firmeninternen LAN 1 sind gemäß 1 Bildschirmarbeitsplätze 2 und
mobile Endgeräte 3 von
Mitarbeitenden 4 untereinander vernetzt. Eine interne Zertifizierungsstelle 5 stellt
den Mitarbeitenden 4 personalisierte Schlüssel 6 zum
Signieren von eMails beispielsweise auf einem (nicht dargestellten)
Hardwaretoken zur Verfügung. Die öffentlichen
Empfängerschlüssel 7 zur
Verschlüsselung
von eMails an die Mitarbeitenden 4 veröffentlicht die interne Zertifizierungsstelle 5 zusammen
mit den zugehörigen
Meta-Informationen der Mitarbeitenden 4 in einem hausinternen
Schlüsselverzeichnis 8.
-
Die
Kommunikation der Mitarbeitenden 4 aus dem LAN 1 mit
externen Partnern 9 über
das Internet 10 wird über
ein Mailgateway 11 geführt.
Die (an die Nomenklatur gemäß dem OSI-Schichtenmodell
gemäß ISO 7498-1
bzw. DIN ISO 7498 angelehnte) Bezeichnung „Gateway" verdeutlicht hierbei, dass – im Gegensatz
zur ausschließlich
weiterleitenden Funktionalität
des Mailservers – an
dieser Stelle Form und Inhalt der übermittelten Daten an die Erfordernisse
des jeweiligen Empfängers
angepasst werden. Das Mailgateway 11 stellt im hier dargestellten Fall
(in Zusammenarbeit mit weiteren in der Folge dargestellten Komponenten)
sicher, dass die in dem LAN 1 verbreiteten eMail-Nachrichten immer
sowohl signiert, als auch verschlüsselt sind – unabhängig davon, ob sie verschlüsselt zu
Partnern 9 weitergeleitet oder signiert oder verschlüsselt von
diesen empfangen wurden.
-
Wenn
ein Mitarbeitender eine eMail an einen externen Partner 9 schreiben
möchte,
wählt er
in seinem (nicht dargestellten) Frontend zunächst dessen Empfängeradresse.
Das Frontend sendet automatisch eine Anfrage an einen Verzeichnisdienst,
der zunächst
in dem lokalen Schlüsselverzeichnis 8 und anschließend in
verschiedenen (nicht dargestellten) externen Schlüsselverzeichnissen
versucht, anhand der Empfängeradresse
einen Empfängerschlüssel 7 zu
ermitteln, um die eMail zu verschlüsseln. Im Erfolgsfall wird
der ermittelte Empfängerschlüssel 7 an das
Frontend weitervermittelt. Ist die Anfrage erst bei einem der externen
Verzeichnisse erfolgreich, so wird der ermittelte Empfängerschlüssel 7 für spätere Verwendung
in dem lokalen Schlüsselverzeichnis 8 zwischengespeichert.
-
Ist
die Anfrage weder bei dem lokalen Schlüsselverzeichnis 8,
noch bei den externen Schlüsselverzeichnissen
erfolgreich, so wird die Anfrage an einen mit dem Mailgateway 11 verbundenen Schlüsselgenerator 12 weitergeleitet,
der für
die Empfängeradresse
einen öffentlichen
Gatewayschlüssel 13 generiert
und an das Frontend sendet. Zugleich generiert der Schlüsselgenerator 12 einen „privaten" Entschlüsselungsschlüssel 14 und
reicht diesen an das Mailgateway 11 weiter. Das Frontend verschlüsselt die
eMail mit dem Gatewayschlüssel 13 und
sendet sie an das Mailgateway 11. Das Mailgateway 11 entschlüsselt die
eMail anhand des Entschlüsselungsschlüssels 14 und
leitet sie – unverschlüsselt – über das
Internet 10 an den externen Partner 9 weiter.
-
Die
Verwendung des Mailgateways 11 ermöglicht innerhalb des LAN 1 einschließlich des
internen Mailservers 15 und eines an diesen gemäß 2 angeschlossenen
Pushservers 16 die Signierung und Verschlüsselung
des gesamten eMail-Kommunikation.
-
3 zeigt
die Einbindung eines Spam- und Virenscanners 17 in die
Gatewayarchitektur: Dieser ist zwischen dem internen Mailgateway 11 und
einem zweiten, externen Mailgateway 18 angeordnet. Das externe
Mailgateway 18 hat (in nicht dargestellter Weise) Zugriff
auf einen weiteren persönlichen Schlüssel 19 der
Mitarbeitenden 4. (Die Schlüssel 6 und 19 der
Mitarbeitenden 4 können
identisch sein.) Anhand dieser Schlüssel 19 entschlüsselt das
externe Mailgateway 18 jede von außen für die Mitarbeitenden 4 verschlüsselt eingehende
eMail-Kommunikation und leitet diese an den Spam- und Virenscanner 17 weiter.
Wird die eingehende eMail von diesem beanstandet, so erfolgt eine
automatische Mitteilung an den Empfänger mit Anweisungen zum weiteren Vorgehen.
Wird die eMail nicht beanstandet, so wird sie mit einem Hinweis
hierauf versehen an das interne Mailgateway 11 weitergeleitet,
das sie mit dem öffentlichen Schlüssel des
Empfängers
verschlüsselt und
beispielsweise mit dem Entschlüsselungsschlüssel 14 des
internen Mailgateways 11 signiert.
-
Auf
dieselbe Weise wird auch jede nicht signiert oder nicht verschlüsselt aus
dem Internet 10 eingehende eMail mit einem entsprechenden
Hinweis versehen und nachträglich
mit dem öffentlichen Schlüssel des
Empfängers
verschlüsselt
und wiederum beispielsweise mit dem Entschlüsselungsschlüssel 14 des
internen Mailgateways 11 signiert. Der Mailserver 15 ist
außerdem
derart konfiguriert, dass unverschlüsselte oder unsignierte eMails
grundsätzlich
nicht an den Empfänger
weitergeleitet, sondern mit einer Fehlermeldung an den Absender
zurückgesandt
werden. In Kombination mit der beschriebenen Funktionalität des internen
Mailgateways 11 insbesondere in Verbindung mit dem Schlüsselgenerator 12 ist
so sichergestellt, dass jede über
das LAN 1 verbreitete eMail-Kommunikation – einschließlich der Kommunikation über den
Push-Server – sowohl
signiert als auch verschlüsselt
ist.
-
In
den Zeichnungsfiguren sind
-
- 1
- LAN
- 2
- Bildschirmarbeitsplatz
- 3
- mobiles
Endgerät
- 4
- Mitarbeitender
- 5
- interne
Zertifizierungsstelle
- 6
- personalisierter
Schlüssel
- 7
- Empfängerschlüssel
- 8
- Schlüsselverzeichnis
- 9
- externer
Partner
- 10
- Internet
- 11
- (internes)
Mailgateway
- 12
- Schlüsselgenerator
- 13
- Gatewayschlüssel
- 14
- „privater" Entschlüsselungsschlüssel
- 15
- Mailserver
- 16
- Pushserver
- 17
- Spam-
und Virenscanner
- 18
- externes
Mailgateway
- 19
- persönlicher
Schlüssel