In einer Zeit, in der Mitarbeiter täglich zwischen mehreren Geräten – von Laptops bis hin zu Smartphones – wechseln, wird die Sicherheit von E-Mails zunehmend komplexer. S/MIME spielt eine entscheidende Rolle, indem es E-Mails verschlüsselt und den Absender verifiziert (digitale Signatur). Obwohl S/MIME eine robuste Sicherheitslösung bietet, bringt es spezifische Herausforderungen mit sich, insbesondere im Hinblick auf die Multi-Device-Zugänglichkeit (oder genauer gesagt Key Rollover).
Eine wesentliche Einschränkung besteht darin, dass Zertifizierungsstellen (CAs) aufgrund der sensitiven Natur ihrer Tätigkeit keine privaten Schlüssel verwalten können, was die Implementierung und Nutzung von S/MIME auf mehreren Geräten erschwert. In diesem Blog erläutern wir, warum dies ein Problem darstellt, wie es oft umständlich gelöst wird und warum KeyTalk die ideale Lösung bietet.
Multi-Device-Zugänglichkeit (Key Rollover) bedeutet, dass Benutzer ihre verschlüsselten E-Mails von allen Geräten aus lesen und senden können, unabhängig davon, ob es sich um einen Desktop, Laptop, ein Smartphone oder ein Tablet handelt. Um dies zu ermöglichen, müssen die S/MIME-Zertifikate und exakt die gleichen privaten Schlüssel auf jedem Gerät verfügbar sein.
In der Theorie klingt dies einfach, in der Praxis ist es jedoch ein komplexer Prozess. Der private Schlüssel, der zum Entschlüsseln von E-Mails benötigt wird, muss sicher gespeichert und auf jedem Gerät zugänglich sein. Hier stoßen wir auf ein grundlegendes Problem im traditionellen PKI-Ökosystem.
CAs spielen eine zentrale Rolle bei der Ausgabe von S/MIME-Zertifikaten. Sie verifizieren die Identität des Benutzers und stellen ein Zertifikat mit dem öffentlichen Schlüssel bereit. Was CAs jedoch nicht tun dürfen, ist das Verwalten des privaten Schlüssels. Dies ist eine bewusste Einschränkung und ein fundamentales Prinzip der Public Key Infrastructure (PKI). Die Verwaltung privater Schlüssel durch eine CA würde das Vertrauen in die kryptografische Infrastruktur untergraben. Benutzer verlassen sich darauf, dass ihre privaten Schlüssel nur von autorisierten Personen zugänglich sind.
Trotz dieser Einschränkungen behaupten einige CAs, wie DigiCert, Sectigo oder GlobalSign, S/MIME-Zertifikatverwaltung und -Automatisierung anbieten zu können. Tatsächlich bedeutet dies jedoch meist, dass sie nur den Prozess der Zertifikatsausstellung und -verlängerung automatisieren, während Benutzer weiterhin selbst dafür verantwortlich sind, private Schlüssel auf ihre Geräte zu verteilen. Dies löst das Problem der Multi-Device-Zugänglichkeit durch Key-Synchronisation nicht und bleibt eine mühsame Aufgabe für IT-Abteilungen.
In der Praxis versuchen Organisationen und Benutzer auf zwei Arten, S/MIME-Zertifikate auf mehreren Geräten verfügbar zu machen. Diese Methoden sind jedoch oft umständlich und bergen Risiken.
1. Manueller Export und Import
Der häufigste Ansatz ist, dass Benutzer ihren privaten Schlüssel und ihr Zertifikat von einem Gerät exportieren und dann manuell auf anderen Geräten importieren. Dieser Prozess ist jedoch ziemlich technisch und fehleranfällig. Private Schlüssel werden zudem oft in unzureichend gesicherter Form übertragen, was das Risiko einer Kompromittierung erhöht.
2. Einsatz von Hardware-Token
Einige Organisationen nutzen Hardware-Token, wie Smartcards oder USB-Token, um private Schlüssel zu speichern. Diese Token können an verschiedene Geräte angeschlossen werden. Der Nachteil dieser Methode ist, dass der Benutzer das Token immer bei sich haben muss, was in einer mobilen Arbeitsumgebung unpraktisch ist. Zudem kann der Verlust oder die Beschädigung des Tokens den Zugang zu verschlüsselten E-Mails vollständig blockieren.
KeyTalk verfolgt einen innovativen Ansatz, der die Einschränkungen traditioneller Methoden umgeht, selbst wenn es mit S/MIME-Zertifikaten arbeitet, die von öffentlichen CAs ausgestellt wurden. Dies ist entscheidend, da öffentliche CAs der Standard für E-Mail-Zertifikate sind, die von großen E-Mail-Clients wie Microsoft Outlook, Apple Mail und Gmail akzeptiert werden.
1. Dynamisches Zertifikatsmanagement mit öffentlichen CAs
KeyTalk integriert sich nahtlos mit öffentlichen CAs und kann Zertifikate automatisch im Namen des Benutzers beantragen und verwalten. Dadurch erhalten Benutzer Zugang zu Zertifikaten, die von allen wichtigen E-Mail-Clients akzeptiert werden, während KeyTalk die Komplexität des Managements eliminiert.
2. Schlüsselaustausch ohne Kompromisse
KeyTalk verhindert die Notwendigkeit, private Schlüssel manuell zu exportieren oder zu teilen. Stattdessen stellt die Plattform sicher, dass das Zertifikat zentral abgerufen und die privaten Schlüssel zentral generiert werden. Diese werden dann sicher an das Gerät oder die Mobile Device Management (MDM)-Software verteilt.
3. Automatische Konfiguration von E-Mail-Clients
Durch Integrationen mit MDM-Lösungen wie Microsoft Intune und MobileIron kann KeyTalk E-Mail-Clients auf Geräten automatisch für S/MIME konfigurieren. Dies bedeutet, dass sowohl das Zertifikat als auch die Einstellungen für die S/MIME-Nutzung (wie Verschlüsselung und digitale Signaturen) automatisch angewendet werden. Vorteile dieser Automatisierung:
o Benutzer müssen keine komplexen Konfigurationsschritte durchführen.
o IT-Teams sparen Zeit und minimieren die Wahrscheinlichkeit von Konfigurationsfehlern.
o Die Multi-Device-Zugänglichkeit verschlüsselter E-Mails wird sowohl für Endbenutzer als auch für Administratoren nahtlos und einfach.
4. Sichere Multi-Device-Zugänglichkeit
KeyTalk ermöglicht es Benutzern, S/MIME-Zertifikate einfach auf mehreren
Geräten zu verwenden. Jedes Gerät, das der Benutzer verwaltet, wird über KeyTalk registriert und authentifiziert. Anschließend erhält jedes Gerät automatisch das Zertifikat mit exakt demselben privaten Schlüssel. Vorteile:
o Benutzer können nahtlos zwischen Geräten wechseln, ohne manuelle Konfiguration.
o IT-Administratoren behalten die Kontrolle darüber, welche Geräte auf welche Zertifikate zugreifen können.
5. Zentrale Integration mit öffentlichen CAs
Die Plattform bietet Organisationen eine zentrale Verwaltungsumgebung für das Beantragen, Erneuern und Widerrufen von Zertifikaten, die von öffentlichen CAs ausgestellt wurden. Dadurch wird das Zertifikatsmanagement automatisiert, ohne die Compliance oder Benutzerfreundlichkeit zu beeinträchtigen. Vorteile:
o Zertifikatsverlängerungen erfolgen automatisch und ohne Unterbrechung des Dienstes.
o Organisationen erfüllen Compliance-Anforderungen und profitieren gleichzeitig von einem vereinfachten Workflow.
Die Multi-Device-Zugänglichkeit (Key Rollover) von S/MIME-Zertifikaten ist in einer Welt, in der Mitarbeiter mehrere Geräte für E-Mails nutzen, unverzichtbar. Die Einschränkungen von Zertifizierungsstellen machen es jedoch schwierig, private Schlüssel sicher und benutzerfreundlich auf mehreren Geräten zu verwalten. Obwohl CAs behaupten, S/MIME-Zertifikatsmanagement zu automatisieren, lösen sie das grundlegende Problem der Schlüsselverwaltung nicht. Ihre Lösungen sind daher oft unvollständig und in der Praxis umständlich.
KeyTalk bietet eine innovative und sichere Lösung, indem es S/MIME-Zertifikate öffentlicher CAs dynamisch verwaltet und verteilt. Das Zertifikat und der exakt gleiche private Schlüssel werden zentral von der Plattform generiert und anschließend sicher an die verschiedenen Geräte eines Benutzers verteilt. Durch die Integration mit MDM-Lösungen wie Intune und MobileIron konfiguriert KeyTalk E-Mail-Clients automatisch für S/MIME, was die Multi-Device-Zugänglichkeit nahtlos macht. So können Organisationen die Sicherheit ihrer E-Mail-Kommunikation verbessern, ohne Kompromisse beim Benutzerkomfort einzugehen. Mit KeyTalk wird die komplexe Welt der S/MIME-Zertifikate auch in den vielfältigsten und mobilsten IT-Umgebungen beherrschbar.
Sind Sie neugierig, welchen Nutzen die geräteübergreifende Zugänglichkeit von S/MIME und dem KeyTalk CKMS für Ihr Unternehmen haben kann? Kontaktieren Sie uns, indem Sie das untenstehende Kontaktformular ausfüllen und finden Sie heraus, wie wir Ihnen bei der Optimierung Ihres Zertifikatsmanagements helfen können.
Das KeyTalk-Team
