Beschreibung

Mit dem MailSealer können Sie E-Mails für den Versand signieren und verschlüsseln.
Dabei können Sie zwischen verschiedenen Methoden wählen, die in 3 Produktgruppen aufgeteilt sind.

Bei S/MIME verschlüsselt und signiert der MailSealer nach S/MIME auf der Basis von X509v3-Zertifikaten bzw. Schlüsselpaaren (asymmetrisch):

  • S/MIME-Zertifikate (X.509v.3) sind üblicherweise personenbezogen und werden durch eine vertrauenswürdige Zertifizierungsstelle (z.B. VeriSign, CaCert etc.) ausgestellt
  • S/MIME "Gateway-Zertifikate" können ebenfalls genutzt werden, hier muss nur ein Zertifikat pro Domäne erworben und verwaltet werden
    Hier handelt es sich um die erzwungene Verwendung eines Zertifikates unabhängig vom jeweiligen Absender.
    Diese Funktionalität ist nur für bestimmte Verfahren notwendig bzw. empfohlen.
    Daher sollten "Gatewayzertifikate" nur verwendet werden, wenn die Kommunikationspartner dies auch verarbeiten können, da sonst z.B. die Signatur der E-Mails von empfangenden Systemen als ungültig eingestuft werden.
  • Über das selbst-signierte Root-CA Zertifikat der REDDOXX Appliance (Private Certificate Authority) können auch automatisch Zertifikate für die Anwender erstellt werden, dieses Zertifikat muss der E-Mail Partner in seinen Zertifikatsspeicher für Autoritäten (Certificate Authorities) importieren
  • S/Mime Zertifikate werden beim manuellen sowie automatischen hinzufügen oder bei Verwendung auf Gültigkeit geprüft
  • Der OCSP Status wird stündlich, die CRL werden aller 8 Stunden geprüft.

Die E-Mail-Signierung dient der Überprüfung, ob eine E-Mail auf dem Weg vom Absender zum Empfänger unverändert übermittelt wurde und ob die E-Mail tatsächlich vom Absender stammt.

Für die E-Mail Signierung wird ein gültiges Privates Zertifikat des Absenders und die entsprechend gültige Zertifikatskette (Intermediate / Root Zertifikat des Zertifikatsausstellers) benötigt.
Das Zertifikat benötigt hierbei als Verwendungszweck (Key Usage bzw. Schlüsselverwendung) die Funktion: Digitale Signatur.
Bei der E-Mail Signierung wird ein Hash Wert (Prüfsumme) des E-Mail Dokumentes erstellt und mit Hilfe des Private Keys des Absenders verschlüsselt.
Die Signierte E-Mail enthält dann den verschlüsselten Prüfwert, das Original Dokument und den Öffentlichen Schlüssel des Absenders.

Für die E-Mail Signatur Prüfung wird der Öffentliche Schlüssel des Absenders und die entsprechend gültige Zertifikatskette (Intermediate / Root Zertifikat des Zertifikatsausstellers) benötigt.
Das empfangende System kann dann über den Öffentlichen Schlüssel des Absenders prüfen, ob der damit ermittelte Hashwert der E-Mail mit dem übermittelten Hash Wert übereinstimmt.
Ist dies der Fall, wurde die E-Mail über den Übertragungsweg nicht manipuliert.

Für die E-Mail Verschlüsselung mittels S/MIME wird das Private Zertifikat des Absenders, sowie das Öffentliche Zertifikat des Empfängers und die entsprechend gültigen Zertifikatsketten (Intermediate / Root Zertifikate der Zertifikatsaussteller) benötigt.
Das Private Zertifikat benötigt hierbei als Verwendungszweck (Key Usage bzw. Schlüsselverwendung) die Funktion: Digitale Signatur sowie Schlüsselverschlüsselung (key encipherment).

Für die E-Mail Entschlüsselung mittels S/MIME wird das Private Zertifikat des Empfängers, sowie das Öffentliche Zertifikat des Absenders und die entsprechend gültigen Zertifikatsketten (Intermediate / Root Zertifikate der Zertifikatsaussteller) benötigt.

PGP verwendet ähnlich wie S/MIME für die Verschlüsselung und Signierung Private und Öffentliche Schlüsselpaare.
Da im Gegensatz zu S/MIME allerdings keine Zwischen- und Root Zertifizierungsstellen notwendig sind, können die Schlüssel der Absenders automatisiert in der REDDOXX Appliance erstellt werden.
Die Öffentlichen Schlüssel der Kommunikationspartner können ebenfalls wie bei S/MIME von der REDDOXX Appliance automatisch eingesammelt werden.

Die E-Mail-Signierung dient der Überprüfung, ob eine E-Mail auf dem Weg vom Absender zum Empfänger unverändert übermittelt wurde und ob die E-Mail tatsächlich vom Absender stammt.

Für die E-Mail Signierung wird ein gültiges Privates Zertifikat des Absenders benötigt.
Bei der E-Mail Signierung wird ein Hash Wert (Prüfsumme) des E-Mail Dokumentes erstellt und mit Hilfe des Private Keys des Absenders verschlüsselt.
Die Signierte E-Mail enthält dann den verschlüsselten Prüfwert, das Original Dokument und den Öffentlichen Schlüssel des Absenders.

Für die E-Mail Signatur Prüfung wird der Öffentliche Schlüssel des Absenders benötigt.
Das empfangende System kann dann über den Öffentlichen Schlüssel des Absenders prüfen, ob der damit ermittelte Hashwert der E-Mail mit dem übermittelten Hash Wert übereinstimmt.
Ist dies der Fall, wurde die E-Mail über den Übertragungsweg nicht manipuliert.

Für die E-Mail Verschlüsselung mittels PGP wird das Private Zertifikat des Absenders, sowie das Öffentliche Zertifikat des Empfängers benötigt.
Hierbei findet eine Hybride Verschlüsselung statt, da im Gegensatz zu S/MIME zunächst ein zufälliger Schlüssel erstellt zur Verschlüsselung der Daten angelegt wird (symmetrische Verschlüsselung).
Anschließend wird dann der zufällige Schlüssel mit dem öffentlichen Schlüssel des empfängers verschlüsselt (asymmetrische Verschlüsselung) und mit diesem verschlüsselten Schlüssel so die Daten verschlüsselt.

Für die E-Mail Entschlüsselung mittels PGP wird das Private Zertifikat des Empfängers, sowie das Öffentliche Zertifikat des Absenders benötigt.

Die E-Mail Verschlüsselung via REDDCRYPT kann auch direkt über die Appliance erfolgen.
Diese stellt dabei im Gateway Betrieb eine gesicherte Verbindung via API zu unserem REDDCRYPT Portal her.
Ähnlich wie bei PGP können hier dann User und zugehörige Keys automatisch erstellt werden.
Zusätzlich können mit einem festgelegten oder zufällig generierten One Time Key E-Mails an Benutzer verschlüsselt werden die dann auch ohne REDDCRYPT Account diese Mails im Web Portal entschlüsseln und auch darauf antworten können.