S/MIME für die Nachrichtensignierung und -Verschlüsselung in Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein weit verbreitetes Protokoll zum Senden von digital signierten und verschlüsselten Nachrichten. S/MIME in Exchange Online bietet die folgenden Dienste für E-Mail-Nachrichten:

• Verschlüsselung: Schützt den Inhalt von E-Mail-Nachrichten.
• Digitale Signaturen: Überprüft die Identität des Absenders einer E-Mail-Nachricht.

Im weiteren Verlauf dieses Artikels werden S/MIME und die Funktionsweise dieser Dienste im Allgemeinen beschrieben.

Informationen zum Konfigurieren von S/MIME in Exchange Online finden Sie in den folgenden Themen:

Konfigurieren von S/MIME in Exchange Online

S/MIME in Outlook für iOS und Android

Digitale S/MIME-Signaturen

Digitale Signaturen sind der am häufigsten verwendete Dienst von S/MIME. Wie der Name schon sagt, sind digitale Signaturen das digitale Gegenstück zur herkömmlichen, rechtlichen Signatur auf einem Papierdokument. Wie bei einer gesetzlichen Signatur bieten digitale Signaturen die folgenden Sicherheitsfunktionen:

• Authentifizierung: Eine Signatur dient der Überprüfung einer Identität. Es überprüft die Antwort auf "wer sind Sie", indem es ein Mittel bereitstellt, um diese Entität von allen anderen zu unterscheiden und ihre Einzigartigkeit nachzuweisen. Da es keine Authentifizierung in SMTP-E-Mails gibt, gibt es keine Möglichkeit, zu wissen, wer eine Nachricht gesendet hat. Die Authentifizierung in einer digitalen Signatur löst dieses Problem, indem einem Empfänger mitgeteilt wird, dass eine Nachricht von der Person oder organization gesendet wurde, die behauptet, die Nachricht gesendet zu haben.

• Nichtabstreitbarkeit: Die Eindeutigkeit einer Signatur verhindert, dass der Besitzer der Signatur die Signatur nicht mehr angibt. Diese Funktion wird als Nichtabstreitung bezeichnet. Daher bietet die Authentifizierung, die eine Signatur bereitstellt, die Möglichkeit, die Nichtabstreitung zu erzwingen. Das Konzept der Nichtabstreitung ist im Zusammenhang mit Papierverträgen am vertrautsten: Ein unterzeichneter Vertrag ist ein rechtsverbindliches Dokument, und es ist unmöglich, eine authentifizierte Unterschrift zu verweigern. Digitale Signaturen haben die gleiche Funktion und werden in einigen Bereichen zunehmend als rechtsverbindlich anerkannt, ähnlich wie eine Unterschrift auf Papier. Da SMTP-E-Mail keine Möglichkeit zur Authentifizierung bietet, können sie keine Ablehnung ermöglichen. Es ist für einen Absender einfach, den Besitz einer SMTP-E-Mail-Nachricht zu verworren.

• Datenintegrität: Ein zusätzlicher Sicherheitsdienst, den digitale Signaturen bereitstellen, ist die Datenintegrität. Die Datenintegrität ist das Ergebnis spezifischer Vorgänge, die digitale Signaturen ermöglichen. Wenn der Empfänger einer digital signierten E-Mail-Nachricht die digitale Signatur überprüft, ist der Empfänger bei Datenintegritätsdiensten sicher, dass es sich bei der empfangenen E-Mail-Nachricht tatsächlich um dieselbe Nachricht handelt, die signiert und gesendet wurde und während der Übertragung nicht geändert wurde. Jede Änderung der Nachricht während der Übertragung, nachdem sie signiert wurde, führt zur Ungültigkeit der Signatur. Auf diese Weise bieten digitale Signaturen eine Sicherheit, dass Signaturen auf Papier nicht möglich sind, da es möglich ist, dass ein Papierdokument nach der Unterzeichnung geändert wird.

Wichtig

Obwohl digitale Signaturen Datenintegrität bieten, bieten sie keine Vertraulichkeit. Nachrichten mit nur einer digitalen Signatur werden als Klartext gesendet, z. B. SMTP-Nachrichten, und können von anderen gelesen werden. Wenn die Nachricht undurchsichtig signiert ist, wird eine Verschleierungsstufe erreicht, da die Nachricht base64-codiert ist, aber immer noch Klartext ist. Um den Inhalt von E-Mail-Nachrichten zu schützen, muss verschlüsselung verwendet werden.

S/MIME-Verschlüsselung

Die Nachrichtenverschlüsselung bietet eine Lösung für die Offenlegung von Informationen. SMTP-basierte Internet-E-Mails schützen nachrichten nicht. Eine SMTP-Internet-E-Mail-Nachricht kann von jedem gelesen werden, der sie beim Reisen sieht oder sie dort anzeigt, wo sie gespeichert ist. Diese Probleme werden durch S/MIME mithilfe der Verschlüsselung behoben. Verschlüsselung ist eine Möglichkeit, Informationen so zu ändern, dass sie erst gelesen oder verstanden werden können, wenn sie wieder in eine lesbare und verständliche Form geändert werden. Die Nachrichtenverschlüsselung bietet zwei spezifische Sicherheitsdienste:

• Vertraulichkeit: Die Nachrichtenverschlüsselung dient dem Schutz des Inhalts einer E-Mail-Nachricht. Nur der beabsichtigte Empfänger kann den Inhalt anzeigen, und der Inhalt bleibt vertraulich und kann niemandem bekannt sein, der die Nachricht empfangen oder anzeigen könnte. Die Verschlüsselung sorgt für Vertraulichkeit, während die Nachricht übertragen und gespeichert wird.

• Datenintegrität: Wie bei digitalen Signaturen bietet die Nachrichtenverschlüsselung Datenintegritätsdienste als Ergebnis der spezifischen Vorgänge, die die Verschlüsselung ermöglichen.

Wichtig

Obwohl die Nachrichtenverschlüsselung Vertraulichkeit bietet, authentifiziert sie den Absender der Nachricht in keiner Weise. Eine nicht signierte, verschlüsselte Nachricht ist ebenso anfällig für einen Absenderidentitätswechsel wie eine Nachricht, die nicht verschlüsselt ist. Da die Nichtabstreitung ein direktes Ergebnis der Authentifizierung ist, bietet die Nachrichtenverschlüsselung auch keine Ablehnung. Obwohl die Verschlüsselung Datenintegrität bietet, kann eine verschlüsselte Nachricht nur zeigen, dass die Nachricht seit dem Senden nicht geändert wurde. Es werden keine Informationen darüber bereitgestellt, wer die Nachricht gesendet hat. Um die Identität des Absenders nachzuweisen, muss die Nachricht eine digitale Signatur verwenden.

Zugehörige Nachrichten-Verschlüsselungstechnologien

Andere Verschlüsselungstechnologien arbeiten zusammen, um Schutz für ruhende und übertragene Nachrichten zu bieten. S/MIME kann gleichzeitig mit den Technologien in der folgenden Liste arbeiten, ist aber nicht von ihnen abhängig:

• Transport Layer Security (TLS), das Secure Sockets Layer (SSL) ersetzt:
  • Verschlüsselt den Tunnel oder die Route zwischen E-Mail-Servern, um Snooping und Lauschangriffe zu verhindern.
  • Verschlüsselt die Verbindung zwischen E-Mail-Clients und E-Mail-Servern.
• BitLocker: Verschlüsselt Daten auf Festplatten auf Clientcomputern und Servern. Wenn eine nicht autorisierte Partei irgendwie Zugriff erhält, kann sie die Daten auf den Laufwerken nicht lesen.

Microsoft Purview-Nachrichtenverschlüsselung ist ein direkter Konkurrent zu S/MIME und hat die folgenden Vorteile gegenüber S/MIME:

• Dabei handelt es sich um einen richtlinienbasierten Verschlüsselungsdienst, der von einem Administrator zum Verschlüsseln von Nachrichten konfiguriert wird, die an personen innerhalb oder außerhalb des organization gesendet werden. Im Gegensatz dazu müssen Benutzer entscheiden, ob sie S/MIME auf gesendete Nachrichten anwenden oder nicht.
• Es handelt sich um einen Onlinedienst, der auf Azure Rights Management (Azure RMS) basiert und nicht auf einer Public Key-Infrastruktur basiert. Im Gegensatz dazu erfordert S/MIME eine Zertifikat- und Zertifikatveröffentlichungsinfrastruktur.
• Microsoft Purview-Nachrichtenverschlüsselung bietet zusätzliche Funktionen. Beispielsweise können Sie Nachrichten an die Marke Ihres organization anpassen.