Planen der Kryptografie für E-Mail-Messaging
Letzte Aktualisierung: April 2009
Betrifft: Office Resource Kit
Letztes Änderungsdatum des Themas: 2009-04-03
In Microsoft Office Outlook 2007 werden sicherheitsbezogene Features unterstützt, die Benutzer beim Senden und Empfangen kryptografischer E-Mail-Nachrichten behilflich sind. Zu diesen Features gehören kryptografisches E-Mail-Messaging, Sicherheitskennzeichen und signierte Empfangsbestätigungen.
.gif "Note") Hinweis: |
|---|
| Die vollständigen Sicherheitsfunktionen von Outlook stehen nur zur Verfügung, wenn Sie Outlook mit lokalen Administratorrechten installieren. |
Kryptografische Messagingfeatures in Outlook
In Outlook werden kryptografische Messagingfeatures unterstützt, die Benutzern Folgendes ermöglichen:
Digitales Signieren einer E-Mail-Nachricht. Digitale Signaturen sichern die Nichtabstreitbarkeit und Inhaltsverifizierung (die Nachricht enthält genau das, was vom Absender gesendet wurde, ohne Änderungen).
Verschlüsseln einer E-Mail-Nachricht. Die Verschlüsselung trägt zum Datenschutz bei, da die Nachricht nur für den beabsichtigten Empfänger lesbar ist.
Für Messaging mit erhöhter Sicherheit können zusätzliche Features konfiguriert werden. Wenn Ihre Organisation diese Features unterstützt, ermöglicht Messaging mit erhöhter Sicherheit Benutzern Folgendes:
Senden einer E-Mail-Nachricht mit Anforderung einer Bestätigung. Auf diese Weise ist sichergestellt, dass der Empfänger die Gültigkeit der digitalen Signatur des Benutzers (das Zertifikat, mit dem der Benutzer die Nachricht versehen hat) überprüft.
Hinzufügen eines Sicherheitskennzeichens zu einer E-Mail-Nachricht. Ihre Organisation kann eine benutzerdefinierte S/MIME-Sicherheitsrichtlinie (Version 3) erstellen, mit der Nachrichten mit Kennzeichen versehen werden. Eine S/MIME-Sicherheitsrichtlinie (Version 3) ist Code, den Sie Outlook hinzufügen. Über den Code werden im Nachrichtenkopf Informationen über die Vertraulichkeit der Nachricht hinzugefügt. Weitere Informationen finden Sie unter Sicherheitskennzeichen und signierte Empfangsbestätigungen weiter unten in diesem Thema.
Implementierung von kryptografischem Messaging in Outlook
Das Outlook-Kryptografiemodell verwendet die Verschlüsselung mit öffentlichem Schlüssel, um signierte und verschlüsselte E-Mail-Nachrichten zu senden und zu empfangen. In Outlook wird S/MIME-Sicherheit (Version 3) unterstützt, die Benutzern den Austausch von E-Mail-Nachrichten mit erhöhter Sicherheit mit anderen S/MIME-E-Mail-Clients über das Internet oder Intranet ermöglicht. E-Mail-Nachrichten, die mit dem öffentlichen Schlüssel des Benutzers verschlüsselt werden, können nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden. Das bedeutet, dass eine verschlüsselte E-Mail-Nachricht beim Senden mit dem Zertifikat (öffentlichen Schlüssel) des Empfängers verschlüsselt wird. Wenn ein Benutzer die verschlüsselte E-Mail-Nachricht liest, wird sie mit dem privaten Schlüssel des Benutzers entschlüsselt.
In Outlook müssen Benutzer über ein Sicherheitsprofil verfügen, um kryptografische Features verwenden zu können. Ein Sicherheitsprofil ist eine Gruppe von Einstellungen, die die Zertifikate und Algorithmen beschreiben, die beim Senden von Nachrichten mit kryptografischen Features verwendet werden. Sicherheitsprofile werden in den folgenden Fällen automatisch konfiguriert, sofern sie nicht bereits vorhanden sind:
Auf dem Computer des Benutzers sind Zertifikate für Kryptografie vorhanden
Der Benutzer verwendet erstmals ein kryptografisches Feature
Sie können diese Sicherheitseinstellungen für Benutzer im Voraus anpassen. Sie können Outlook mithilfe von Registrierungseinstellungen oder Gruppenrichtlinieneinstellungen an die kryptografischen Richtlinien der Organisation anpassen und die gewünschten Einstellungen in den Sicherheitsprofilen konfigurieren (und ggf. mithilfe von Gruppenrichtlinien erzwingen). Diese Einstellungen werden in der Tabelle in Festlegen einheitlicher Outlook 2007-Kryptografieoptionen für eine Organisation beschrieben.
Digitale IDs: eine Kombination aus öffentlichem und privatem Schlüssel und Zertifikaten
S/MIME-Features erfordern digitale IDs, über die die Identität eines Benutzers mit einem Schlüsselpaar aus öffentlichem und privatem Schlüssel verknüpft wird. Die Kombination aus einem Zertifikat und einem Schlüsselpaar aus öffentlichem und privatem Schlüssel wird als digitale ID bezeichnet. Der private Schlüssel kann in einem Speicher mit erhöhter Sicherheit, z. B. im Microsoft Windows-Zertifikatspeicher, auf dem Computer des Benutzers oder auf einer Smartcard gespeichert werden. Outlook bietet vollständige Unterstützung für den x.509-Standard, Version 3, nach dem öffentliche und private Schlüssel von einer Zertifizierungsstelle wie VeriSign, Inc. erstellt werden müssen.
Benutzer können digitale IDs von öffentlichen Zertifizierungsstellen im World Wide Web wie VeriSign und Microsoft Certificate Server beziehen. Weitere Informationen dazu, wie Benutzer eine digitale ID erhalten können, finden Sie im Outlook-Hilfethema "Anfordern einer digitalen ID". Als Administrator können Sie digitale IDs für eine Gruppe von Benutzern bereitstellen. In Outlook wird auch weiterhin der Microsoft Exchange-Schlüsselverwaltungsserver zum Erhalten oder Bereitstellen von digitalen IDs unterstützt.
Beim Ablauf von Zertifikaten für digitale IDs müssen Benutzer normalerweise aktualisierte Zertifikate von der ausstellenden Zertifizierungsstelle erhalten. Wenn Ihre Organisation Zertifikate vom Microsoft Exchange-Schlüsselverwaltungsserver bezieht, wird die Zertifikataktualisierung von Outlook automatisch verwaltet.
Sicherheitskennzeichen und signierte Empfangsbestätigungen
Outlook bietet Unterstützung für ESS-Erweiterungen (Enhanced Security Services) für Sicherheitskennzeichen und signierte Empfangsbestätigungen nach S/MIME, Version 3. Diese Erweiterungen können Sie zur Bereitstellung einer sicheren E-Mail-Kommunikation innerhalb Ihrer Organisation und zum Anpassen der Sicherheit an Ihre Anforderungen verwenden.
Wenn Ihre Organisation S/MIME-Sicherheitsrichtlinien (Version 3) entwickelt und bereitstellt, um Nachrichten mit benutzerdefinierten Sicherheitskennzeichen zu versehen, kann das Hinzufügen eines Sicherheitskennzeichens zu einer E-Mail-Nachricht vom Code in den Sicherheitsrichtlinien erzwungen werden. Nachfolgend finden Sie zwei Beispiele für Sicherheitskennzeichen:
Ein Kennzeichen "Nur interne Verwendung" könnte als Sicherheitskennzeichen für E-Mails eingeführt werden, die nicht außerhalb des Unternehmens gesendet oder weitergeleitet werden dürfen.
Ein Kennzeichen kann angeben, dass bestimmte Empfänger die Nachricht nicht weiterleiten oder drucken können, wenn die Sicherheitsrichtlinie beim Empfänger ebenfalls installiert ist.
Benutzer können auch Anforderungen von Empfangsbestätigungen mit erhöhter Sicherheit senden, um zu überprüfen, dass die Empfänger die digitale Signatur des Benutzers erkennen. Wenn die Nachricht empfangen und gespeichert (auch wenn sie noch nicht gelesen wird) und die Signatur überprüft wird, wird eine Empfangsbestätigung an den Posteingang des Benutzers gesendet, die angibt, dass die Nachricht gelesen wurde. Wurde die Signatur des Benutzers nicht überprüft, wird keine Empfangsbestätigung gesendet. Wenn die Empfangsbestätigung zurückgegeben wird, die ebenfalls signiert ist, dient sie als Bestätigung, dass die Nachricht vom Benutzer empfangen und überprüft wurde.
Klassen von Verschlüsselungsstärken
Es gibt von Microsoft zwei Klassen von Verschlüsselungsschlüsselstärken: hoch (128 Bit) und niedrig (40 Bit). Microsoft bietet 128-Bit-Verschlüsselungsfunktionen in Windows 2000 und Windows XP, den für 2007 Microsoft Office System erforderlichen Betriebssystemen. Ein hohes Maß an E-Mail-Messaging mit erhöhter Sicherheit kann dadurch sichergestellt werden, dass Benutzer über Softwareversionen verfügen, die 128-Bit-Verschlüsselung unterstützen.
Zusätzliche Ressourcen
Die Anwendungsprogrammierschnittstelle (Application Programming Interface, API) für Outlook-Sicherheitskennzeichen erstellt Sicherheitskennzeichen-Richtlinienmodule, die die Vertraulichkeit des Nachrichteninhalts in Ihrer Organisation definieren. Eine ausführliche Beschreibung der Erstellung von Richtlinienmodulen sowie Codebeispiele finden Sie im MSDN-Artikel Erstellen von Sicherheitskennzeichen-Richtlinienmodulen.
Mithilfe von Kryptografie mit öffentlichen Schlüsseln können Sie E-Mail-Systeme mit erhöhter Sicherheit verwalten. Weitere Informationen zur Verwendung der Kryptografie mit öffentlichen Schlüsseln in Outlook finden Sie, wenn Sie auf der Website des Microsoft-Produktsupports auf der Knowledge Base-Suchseite nach dem Whitepaper zur Sicherheit in Outlook 98 suchen.
Von Microsoft Exchange-Schlüsselverwaltungsserver, Version 5.5, werden ausschließlich Schlüssel für die Microsoft Exchange Server-Sicherheit ausgestellt. Microsoft Exchange-Schlüsselverwaltungsserver 5.5 Service Pack 1 unterstützt sowohl Exchange-Sicherheit als auch S/MIME-Sicherheit. Weitere Informationen finden Sie im Microsoft Exchange Server Version 5.5 Resource Guide im Microsoft BackOffice Resource Kit, Second Edition.
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in die folgenden Bücher zum Herunterladen aufgenommen:
Messaginghandbuch für die 2007 Office-Version (in englischer Sprache)
Planung und Architektur für die 2007 Office-Version (in englischer Sprache)
Sicherheit für die 2007 Office-Version (in englischer Sprache)
Die vollständige Liste der verfügbaren Bücher finden Sie unter Inhalte zum Herunterladen für das 2007 Office Resource Kit.