Wesentra Oy
Alkuun

sähköinen allekirjoitus ja sähköpostin salaus

Sähköpostiesi luotettavuuden ja lähettäjän henkilöllisyyden varmistaminen

Mixed content, Public key pinning, Cross site scripting, malware protection, SSL/TLS Certificates eli varmenteet suojaavat verkkoliikennettä.

lähettäjän tunnistaminen vaikeutuu Sähköpostihuijausten yleistyessä

Sähköpostihuijaukset ja tietojen kalastelu toisten nimissä (esim. ns. toimitusjohtajahuijaukset) ovat nykyään lähes arkipäivää. Näiden välttämiseen ja luottamuksellisten sähköpostien salaamiseen on yksinkertainen keino: S/MIME-varmenne (eli sähköpostin salausvarmenne). Tämä varmenne mahdollistaa salattujen sähköpostien lähettämisen ja digitaalisen allekirjoituksen, josta lähettäjän henkilöllisyyden voi tarkistaa.

Kuinka S/MIME-varmenne toimii?

Kaiken varmentamisen peruskivi on organisaation verifiointi, mikä pätee myös S/MIME-varmenteeseen. Varmentamisen, eli verifionnin, suorittaa siihen koulutettu ja auktorisoitu henkilö, jota kutsutaan Verification Specialistiksi. S/MIME-varmennetta EI voida myöntää henkilökohtaiseen sähköpostiin (esim. gmail, yahoo tai vastaava). Henkilö identifioidaan organisaation kautta ja varmenne myönnetään organisaation omistamalle domainille (esim. wesentra.com).

    Kysymyksiä ja vastauksia S/MIMEn käytöstä

  1. Pitääkö sähköpostin lähettäjällä ja vastaanottajalla olla saman varmentajan S/MIME-varmenne?
    • Ei. Riittää, että osapuolilla on X.509-varmenne (julkinen tai privaatti, minkä tahansa varmentajan toimittama.
    • Kryptausta varten molemmilla tulee olla varmenne (x.509 s/mime varmenne).
    • Allekirjoitusta varten riittää, että lähettäjällä on varmenne.
  2. Kuinka osapuolet vaihtavat varmenteita, jos sähköpostit halutaan salata?
    • Koska molemmat osapuolet tarvitsevat S/MIME-varmenteen, he lähettävät toisilleen allekirjoitetut sähköpostit ja varmenne poimitaan sähköpostista. S/MIME-varmenteilla ei ole palvelinvarmenteita vastaavaa julkista hakemistoa, joten tämä on tehtävä manuaalisesti.
  3. Kuinka S/MIME-toimittajat suojaavat varmenteiden yksityisen avaimen.
    • Yksityiset avaimet säilytetään järjestelmissä, jotka on suojattu menetelmin joita ei edes julkisesti kerrota. Suojausmenetelmät ovat samoja, mitä käytetään myös julkisten varmenteiden kanssa, eli kyseessä on korkein mahdollinen tietoturvataso niin fyysisesti (laitetilat) kuin ohjelmallisesti. Näihin avaimiin ei ole pääsyä edes varmentajan henkilökunnalla.
  4. Muutamia tilanteita, joihin saatetaan törmätä S/MIME-varmenteita käytettäessä. Kuinka toimia?

    Käyttäjä hukkaa salasanansa varmenteelle — Varmenteen voi luoda uudelleen re-issue toiminnolla (Entrust S/MIME). Varmenne sisältää tällöin saman avaimen kuin edellisessä versiossa ja sillä voidaan avata edellisellä versiolla kryptattuja sähköposteja. Re-issue on maksuton toimenpide (riippuu palveluntarjoajastasi, jos käytössäsi on heidän kautta toimitettu varmenne).

    Käyttäjän kone "tuhoutuu" — Jos käyttäjä edelleen muistaa varmenteensa salasanan, hän voi ladata ja asentaa varmenteen uudelleen.

    Käyttäjä epäilee, että yksityinen avain tai varmenne on joutunut vääriin käsiin — Varmenne revokoidaan ja sille tehdään re-issue, eli käytännössä myönnetään uudelleen. Kun varmenteelle on myöntövaiheessa määritetty, että avainhistoria tulee säilyttää (tämä on best practise), voidaan uudella varmenteella avata aiemmalla versiolla salatut sähköpostit.

    Käyttäjä lähtee organisaatiosta — Varmenne revokoidaan ja käyttäjä ei voi enää allekirjoittaa tai salata viestejä tällä varmenteella.

    Uusinta — S/MIME-varmenteiden elinikä on 1-2 vuotta. Jos sähköpostiosoite pysyy samana, voidaan varmenne uusia. Kun avainhistoria on alkuperäisellä varmenteella huomioitu, uudella varmenteella voidaan avata myös edellisellä versiolla salatut ja allekirjoitetut sähköpostit.

    Käyttäjän nimi vaihtuu — Mikäli käyttäjän nimi, eli sähköpostiosoite, vaihtuu, on käyttäjälle ostettava uusi varmenne. Tässä tapauksessa käyttäjän on säilytettävä sähköpostijärjestelmässään myös vanha varmenne, jotta hän pystyy avaamaan aiemmat salatut viestit.

  5. Jos varmenteelle tehdään re-issue, onko se voimassa vuoden eteenpäin?
    • Ei. Re-issue vain uudistaa varmenteen, ei muuta sen voimassaolo-aikaa.
  6. Voiko S/MIME-varmennetta käyttää myös MS Office dokumenttien allekirjoittamiseen?
    • Kyllä voi.
    Voinko käyttää henkilökohtaisessa sähköpostissani organisaation minulle hankkimaa varmennetta?
    • Et. S/MIME-varmenne on organisaatiovarmennettu varmenne, mikä tarkoittaa sitä, että sinut on varmennettu osana organisaatiota ja varmenne on kiinnitetty organisaatiosi omistuksessa tai hallinnassa olevaan domainiin. Organisaatiovarmennettuja varmenteita ei myönnetä yksityishenkilöille.

Lähteitä:
Wesentra Oy, SSL/TLS-Palvelut Weseblog
Entrust Datacard