1 / 18

Secure e-mail Leon Kuunders Principal Security Consultant mailto:leon.kuunders@nedsecure.nl Woensdag 14 November 2001 IB

Secure e-mail Leon Kuunders Principal Security Consultant mailto:leon.kuunders@nedsecure.nl Woensdag 14 November 2001 IBF dag NPI http://www.nedsecure.nl. Inhoud. Waarom beveiligde e-mail? Standaarden Hoe beveiligen e-mail? PKI Risico’s De markt en verder Afsluiting.

sinead
Download Presentation

Secure e-mail Leon Kuunders Principal Security Consultant mailto:leon.kuunders@nedsecure.nl Woensdag 14 November 2001 IB

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Secure e-mail Leon KuundersPrincipal Security Consultantmailto:leon.kuunders@nedsecure.nl Woensdag 14 November 2001 IBF dag NPI http://www.nedsecure.nl

  2. Inhoud • Waarom beveiligde e-mail? • Standaarden • Hoe beveiligen e-mail? • PKI • Risico’s • De markt en verder • Afsluiting

  3. Secure e-mail Waarom beveiligde e-mail? Om authenticiteit, integriteit en vertrouwelijkheid van een e-mail bericht te kunnen garanderen. Noot:e-mail = het overbrengen van berichten via de computer email = glasachtige massa, in een dunne laag aangebracht ter bescherming of versiering van metalen, glazen en stenen voorwerpen van Dale

  4. De risico’s van e-mail • E-mail is een connection-less protocol met verschillende verschijningsvormen (1-1, 1-x, x-x). • Authenticiteit (wie heeft het bericht verstuurd?) • Integriteit (is dit het bericht dat verstuurd is?) • Vertrouwelijkheid (is het bericht door derden gelezen?)

  5. Standaarden • Wat voor open standaarden? • OpenPGP Ontwikkelt door Phil Zimmermann (1991) Verder uitbreiding via ietf-openpgp • S/MIME Ontwikkelt door RSA Inc. (1997) Verder uitbreiding via ietf-smime Beiden werken met MIME.

  6. Twee standaarden? • Verschillen? • Primair is er een verschil in het certificeringsformaat: • S/MIME is gebaseerd op het X.509 certificeringsmodel • OpenPGP heeft haar eigen certificeringsmodel • Door middel van certificering wordt vertrouwen overgedragen of echtheid gegarandeerd.

  7. Hoe beveiligen van e-mail? • Diverse opties • Coderen van berichten op de gateway (organisatie) • Coderen van berichten op de desktop (eind gebruiker) In beide gevallen moet (?) een distributie systeem worden opgezet voor de publieke sleutels (PKI).

  8. Coderen == Cryptografie • Twee (…) vormen van cryptografie: • Symmetrisch; ook wel genoemd shared secret • A-symmetrisch; ook wel genoemd public key • Waar hebben we dit voor nodig? • Secure messaging • Vertrouwelijkheid, Integriteit, Authenticiteit, Onweerlegbaarheid • Afleverrapporten • Security management - Identificatie, Authenticatie en Autorisatie eindgebruikers/objecten

  9. Public Key Infrastructure PKI systemen hebben betrekking op a-symmetrische cryptografie. In deze vorm van versleuteling wordt een sleutelpaar uitgedeeld aan (of gegenereerd door) een organisatie of persoon. De privé component van dit sleutelpaar wordt in eigen beheer gehouden. De publieke component wordt uitgedeeld aan de partners (via de PKI). Met de privé sleutel kan men een digitale handtekening plaatsen en versleutelde berichten decoderen. Met de publieke sleutel kan men informatie coderen en controleren of ontvangen informatie gewijzigd is.

  10. Vormen van e-mail • Communicatievormen • Berichten van gebruiker naar gebruiker • Berichten van gebruiker naar organisatie • Berichten van organisatie naar organisatie

  11. Client vs Client

  12. Gateway vs Client

  13. Gateway vs Gateway

  14. Risico’s • Aan (public key) cryptografie zijn risico’s verbonden: • Verlies privé sleutel - Mogelijke oplossingen: Key Recovery, Data Recovery • Ongeauthoriseerd versleutelen van gegevens • Mogelijke oplossingen: Publieke sleutels niet uitdelen? • Content scanning? Rule-based encryption? • Technieken volgen elkaar snel op, wat te kiezen? • Techniek die beide standaarden ondersteunt? Of #1…, en wie is dat dan? • Nadruk op beveiliging desktop/laptop/palmtop - Content management / Virusprotectie / Volume encryptie

  15. De Markt • Diverse aanbieders: • PKI leveranciers (die ook encryptie doen) - Entrust, Utimaco, Baltimore, RSA Security • Encryptie leveranciers (die ook PKI leveren) • nCipher, McAfee (PGP), Biodata, PointSec, Safeguard (Utimaco), • Safeboot • Content Management - Thunderstore (X-Tra Secure), MailMarshal, TFS Security, Biodata (Gateway Mail, Cobion)

  16. Voorspelling • Consolidatie markt • Toename in e-mail versleuteling vanwege: • Wettelijke verplichtingen rondom informatiebeveiliging en privacy • Hogere penetratiegraad e-mail in organisaties en • betere hulpmiddelen voor afhandelen e-mail • Groeiend IB bewustzijn burgers • PKI pilot trajecten • Nederlandse Digitale Paspoort?

  17. Afsluiting Wat zijn verwachtingen voor de eigen organisatie? Is er een samenwerkingsverband voor de politieregio’s? Wachten we op PKI?

  18. Rij en surf voorzichtig! http://www.internetrijbewijs.nl

More Related