expertenaustausch > comp.* > comp.security.misc

Paul Muster (22.01.2015, 08:08)
Hallo,

mal wieder eine Konzeptfrage.

Wie verbreitet man sinnvollerweise S/MIME-Zertifikate der Mitglieder
einer Organisation, damit Leute, die Mails an die Organisation schicken
wollen, diese zur Verschlüsselung nutzen können?

Die Frage bezieht sich nicht auf Nach- oder Zweitschlüssel, wie manche
Organisationen es für richtig halten, sondern rein auf die
Veröffentlichung der persönlichen S/MIME-Zertifikate. Bei PGP schiebt
man dazu die Schlüssel auf einen Keyserver. Aber bei S/MIME?

Gibt es womöglich irgendein schickes Protokoll, über das entsprechende
Clients nach Zertifikaten suchen, z.B. eine Implementierung basierend
auf RfC 5785 (well-known URI suffix,
)?

Danke & viele Grüße

Paul
Juergen P. Meier (22.01.2015, 09:57)
Paul Muster <exp-311215>:
> mal wieder eine Konzeptfrage.
> Wie verbreitet man sinnvollerweise S/MIME-Zertifikate der Mitglieder
> einer Organisation, damit Leute, die Mails an die Organisation schicken
> wollen, diese zur Verschlüsselung nutzen können?


Ueber ein zentrales X.500 Directory per DAP (X.519).
(Produkte gibts von Siemens^WAtos, Isode, Nextor oder Telstra)

Alternativ (falls das zu aufwaendig ist, und die Millionen-Budgets
schon durch die letzte SAP-Migration aufgefressen wurden) geht auch
die schlanke* Leight-Weight Alternative LDAP.

Sehr schoen z.B. in eine Microsoft Windows AD integrierbar. Man benoetigt
aber jemanden der sich damit wirklich auskennt, keine MSCE Mausschubser.

Oder man macht das mit OpenLDAP oder einem aehnlichen Produkt unter
Unix oder Linux.

Einen Microsoft LDAP Server kann man (wenn man *wirklich* kompetente
Leute erwischt hat) ebenso wie letzteres (halbwegs kompetente Leute
vorausgesetzt) auch am oeffentlichen Internet betreiben, damit auch
die Geschaeftspartner automatisch Zertifikate bekommen.

> Die Frage bezieht sich nicht auf Nach- oder Zweitschlüssel, wie manche
> Organisationen es für richtig halten, sondern rein auf die
> Veröffentlichung der persönlichen S/MIME-Zertifikate. Bei PGP schiebt
> man dazu die Schlüssel auf einen Keyserver. Aber bei S/MIME?


Ein Zentrales Directory. Ist schliesslich alles X.500.

> Gibt es womöglich irgendein schickes Protokoll, über das entsprechende
> Clients nach Zertifikaten suchen, z.B. eine Implementierung basierend


Ja. LDAP

> auf RfC 5785 (well-known URI suffix,


Ja. z.B.: ldaps://ldap.server.tld/

* Auch ein Pottwal ist schlank, verglichen mit einem Blauwal.

> Danke & viele Grüße


HTH,
Juergen
Michael Ströder (22.01.2015, 19:50)
Paul Muster wrote:
> mal wieder eine Konzeptfrage.
> Wie verbreitet man sinnvollerweise S/MIME-Zertifikate der Mitglieder einer
> Organisation, damit Leute, die Mails an die Organisation schicken wollen,
> diese zur Verschlüsselung nutzen können?


Eigentlich am besten durch Verschicken signierter Nachrichten. ;-)

Im Ernst: Ein S/MIME-fähiger MUA verschickt damit auch seine sog. S/MIME
Capabilities, also die Informationen über vom MUA unterstützte Algorithmen.
Sonst wählt ein S/MIME-Sender evtl. unsichere Default-Cipher.

Die Microsoft CA hat auch eine X.509v3-Extension definiert, welche die S/MIME
Capabilities fest ins Zertifikat einkodiert. Ich weiss allerdings nicht,
welche MUAs außer Outlook diese Erweiterung unterstützen.

> Gibt es womöglich irgendein schickes Protokoll, über das entsprechende Clients
> nach Zertifikaten suchen, z.B. eine Implementierung basierend auf RfC 5785
> (well-known URI suffix,
> )?


Ich kenne leider nicht viele Client-Implementierungen hiervon:



Auf Server-Seite kann EJBCA das.

Einige S/MIME-fähige MUAs können auch via LDAP Zertifikate beschaffen. Aber
die Mozilla-basierten meines Erachtens nicht mehr.

Die meisten Unternehmen haben einfach eigene Web-Interfaces, mit denen man
nach einem Zertifikat zu einer E-Mail-Adresse suchen kann. Und dann eben der
übliche HTTP-Download mit passendem MIME-Typ.

Öffentliches Beispiel dafür:


Theoretisch kann man da auch
ldap://ldap.globaltrustpoint.com/dc=zertificon,dc=com (scheint inzwischen
Apache-DS zu sein) durchsuchen. Aber es funktioniert anscheinend nicht mehr.

Wie man LDAP-Server zu einer Domain lokalisieren kann wurde mal hier
zusammengetragen:



Am besten also über einen SRV RR im DNS. Der Client muss das aber
unterstützen. Ich habe das vor langer Zeit alles eingebaut.

Funktionierendes Beispiel:

$ host -t srv _ldap._tcp.rediris.es.
_ldap._tcp.rediris.es has SRV record 0 0 1389 ldap.rediris.es.

Wird z.B. so benutzt:
)

Allerdings kommt via LDAP der normale Anwender in einem Unternehmen nicht über
die Firewalls aus seinem Unternehmensnetzwerk raus.

Ciao, Michael.
Michael Ströder (22.01.2015, 19:56)
Juergen P. Meier wrote:
> Paul Muster <exp-311215>:
> Ueber ein zentrales X.500 Directory per DAP (X.519).
> (Produkte gibts von Siemens^WAtos, Isode, Nextor oder Telstra)


Echte X.500-Produkte haben einen schwindenden Marktanteil und demnach auch
keine so hohen Entwicklungs-Budgets bei den Herstellern mehr. Es gibt IMO
heute auch keinen Grund mehr für echtes DAP, wenn man sich nicht in sehr
speziellen Bereichen rumtreibt.

> Alternativ (falls das zu aufwaendig ist, und die Millionen-Budgets
> schon durch die letzte SAP-Migration aufgefressen wurden) geht auch
> die schlanke* Leight-Weight Alternative LDAP.
> Sehr schoen z.B. in eine Microsoft Windows AD integrierbar.


Wenn man die Microsoft-CA nimmt, dann ist MS AD gut integriert. Wenn nicht,
dann halt wie jeder andere LDAP-Server integrierbar.

> Einen Microsoft LDAP Server kann man (wenn man *wirklich* kompetente
> Leute erwischt hat) ebenso wie letzteres (halbwegs kompetente Leute
> vorausgesetzt) auch am oeffentlichen Internet betreiben, damit auch
> die Geschaeftspartner automatisch Zertifikate bekommen.


Wenn Du ADAM meinst, dann würde ich davon eher abraten. Und auch übrigens auch
nicht besser mit der PKI integriert als ein OpenLDAP-, OpenDJ-, 389-DS oder
Apache-DS -Server.

> Ein Zentrales Directory. Ist schliesslich alles X.500.


Nun ja... :-/

Ciao, Michael.
lram (23.01.2015, 11:41)
Am 22.01.2015 um 18:50 schrieb Michael Ströder:
> Eigentlich am besten durch Verschicken signierter Nachrichten. ;-)


Genau, eine firmenweite Mailingliste, die jeder verpflichtend abbonieren
muss und die jeder verpflichtend einmalig signiert anschreibt. :)

lram
Michael Ströder (23.01.2015, 11:55)
lram wrote:
> Am 22.01.2015 um 18:50 schrieb Michael Ströder:
>> Eigentlich am besten durch Verschicken signierter Nachrichten. ;-)

> Genau, eine firmenweite Mailingliste, die jeder verpflichtend abbonieren
> muss


Das ist keine so schlechte Idee.

> und die jeder verpflichtend einmalig signiert anschreibt. :)


...die jeder immer mind. einmal nach Erhalt eines neuen S/MIME-Zertifikats
anschreibt.

Hmm, wer wäre bereit, eine entsprechende öfftl. Mailing-Liste zu hosten?

Ciao, Michael.
Volker Delf (25.01.2015, 11:09)
Hallo,

Michael Ströder schrieb:

>Paul Muster wrote:
>> mal wieder eine Konzeptfrage.
>> Wie verbreitet man sinnvollerweise S/MIME-Zertifikate der Mitglieder einer
>> Organisation, damit Leute, die Mails an die Organisation schicken wollen,
>> diese zur Verschlüsselung nutzen können?

>Eigentlich am besten durch Verschicken signierter Nachrichten. ;-)

Bei selbstsignierten X.509-Zertifikaten (Antragsteller = Aussteller)
reicht das nicht aus. Zusätzlich muss das Zertifikat als Stammzertifikat
importiert werden, damit S/MIME verifizieren und verschlüsseln kann.

mfg Volker
Michael Ströder (25.01.2015, 15:09)
Volker Delf wrote:
> Michael Ströder schrieb:
> Bei selbstsignierten X.509-Zertifikaten (Antragsteller = Aussteller)
> reicht das nicht aus. Zusätzlich muss das Zertifikat als Stammzertifikat
> importiert werden, damit S/MIME verifizieren und verschlüsseln kann.


Ja, ist aber in der Praxis eher ein Ausnahmefall.

Die Regel ist, dass man vorher die (Untenehmens-)CA als vertrauenswürdig
importieren muss.

Ciao, Michael.
Ähnliche Themen