Go to Top

s/mail

s/mail bietet Verschlüsselung und digitale Signaturen für E-Mails auf der höchstmöglichen Sicherheitsstufe. Die Bundeswehr und zahlreiche weitere Kunden mit besonders hohen Sicherheitsansprüchen schützen ihre vertraulichen Nachrichten mit s/mail für Microsoft Outlook oder IBM Notes.

E-Mail ist nicht nur eine beliebte Internet-Anwendung, sondern auch eine sehr sicherheitskritische. Es ist nicht besonders schwierig, eine E-Mail zu fälschen, und es gibt immer Personen (Administratoren, technische Mitarbeiter, …), die die Mails anderer mitlesen können. Verschlüsselung und digitale Signaturen sind für vertrauliche E-Mails daher Pflicht.

s/mail von cryptovision ist eine bewährte Software, die E-Mails vor diesen Bedrohungen schützt. s/mail bietet E-Mail-Verschlüsselung und digitale Signaturen auf der höchsten Sicherheitsstufe, die am Markt erhältlich ist.

Natürlich gibt es auch andere Möglichkeiten, E-Mails zu schützen – beispielsweise Krypto-Gateways, PGP oder die nativen Krypto-Funktionen der Mail-Clients. Doch diese Lösungen sind nur für niedrige oder mittlere Sicherheitsansprüche geeignet. Wird eine Mail beispielsweise auf einem Gateway verschlüsselt, dann kann ein Angreifer sie auf dem Weg vom Client zum Gateway lesen. Im Gegensatz dazu bieten PGP und native Krypto-Funktionen zwar Ende-zu-Ende-Sicherheit, doch für Hochsicherheitsanwendungen reicht ihr Schutzniveau nicht aus.

s/mail erfüllt dagegen höchste Sicherheitsansprüche und wird daher von der Bundeswehr sowie zahlreichen anderen Behörden und Unternehmen mit hohem Schutzbedarf genutzt. Als einzige Lösung ihrer Art besitzt s/mail Zulassungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Daten der Geheimhaltungsstufen „VS – Nur für den Dienstgebrauch“, NATO Restricted und EU Restricted.

s/mail ist als Plugin für Microsoft Outlook und IBM Notes realisiert. Neben der Sicherheit waren Benutzerfreundlichkeit und eine einfache Administration wichtige Design-Ziele. Die Benutzeroberfläche ist nahtlos in den jeweiligen E-Mail-Client integriert.

FAQ

Wie funktioniert E-Mail-Verschlüsselung?

Per E-Mail werden oft vertrauliche Mitteilungen versendet. Daher ist E-Mail- Sicherheit ein wichtiges Thema. Eine E-Mail kann vor allem auf zwei Arten geschützt werden: durch Verschlüsselung und durch eine digitale Signatur. Ersteres hindert Unbefugte, die Nachricht zu lesen, digitale Signaturen sorgen für Nachprüfbarkeit. Der wichtigste Standard für das Verschlüsseln und Signieren von E-Mails ist S/MIME – eingesetzt mit digitalen Zertifikaten, die meist eine Public-Key-Infrastruktur (PKI) zur Verfügung stellt. Mit PGP existiert ein weiteres Format, das vor allem im privaten Bereich beliebt ist.

Wer E-Mails schützen will, kann dies an zwei Stellen tun: auf dem Client oder auf einem Krypto-Gateway. Für niedrige und mittlere Sicherheitsansprüche reicht ein Krypto-Gateway oft aus. Doch Ende-zu-Ende-Sicherheit und persönliche digitale Signaturen sind auf diese Weise nicht möglich. Für Unternehmen mit hohen Sicherheitsanforderungen ist daher ein Clientbasierter E-Mail-Schutz ein absolutes Muss. In vielen Fällen kann man für diesen Zweck PGP oder die nativen Krypto-Funktionen der gängigen E-Mail-Clients nutzen – diese verfügen jedoch nicht über eine BSI-Bestägigung oder vergleichbare Sicherheitsevaluierungen. Die Alternative ist ein spezielles Krypto-Plugin, das in den E-Mail-Client integriert wird.

Architektur

Unterstützte Systeme

  • Windows Vista, Windows 8 / 8.1 oder Windows 10
  • IBM Notes oder Microsoft Outlook
  • Smartcard-Leser oder USB-Port

Product Brief (englisch)
herunterladen

Technical Data Sheet (englisch)
herunterladen

Module, Grundlagen, Key Features, Vergleich

  • Die modulare Architektur von s/mail

    s/mail ist streng modular aufgebaut. Alle Nutzfunktionen werden von plattformunabhängigen Kernkomponenten erbracht. Diese sind beispielsweise für das Verschlüsseln, Signieren, Entschlüsseln und Signaturprüfen zuständig, außerdem für die Zertifikatsprüfung einschließlich Kettenbildung. Sperrprüfungen erfolgen hierbei über Sperrlisten (per LDAP oder HTTP) oder OCSP.

    s/mail verwendet ein eigenes Schlüssel-Management, das vom Windows Key Store unabhängig ist. Die Kernkomponenten greifen über das Schlüssel-Management auf Smartcard- oder Software-Schlüssel zu. Eine MIME-Bibliothek generiert den Textkörper der jeweiligen E-Mail, und eine S/MIME-Bibliothek übernimmt die Kodierung gemäß dem S/MIME-Standard.

    Neben den Kernkomponenten enthält s/mail auch eine plattformspezifische Schicht. Diese wickelt die Kommunikation zwischen dem E-Mail-Client und den Kernkomponenten ab. Sie nimmt S/MIME-E-Mails entgegen und übergibt sie zur Dekodierung an die Kernkomponenten. Beim Versand werden Nachrichten in analoger Weise zur S/MIME-Kodierung übergeben.

  • s/mail
    s/mail ist eine hochsichere, Client-basierte EMail-Verschlüsselungslösung. Als Plug-in für Microsoft Outlook oder IBM Notes integriert sich s/mail in den E-Mail-Client und kapselt die Krypto-Funktionalität vom Rest des Systems.

    VS-NfD, NATO- und EU-Zulassung
    s/mail hat vom BSI Zulassungen für Daten der Geheimhaltungsstufen VS-NfD, NATO Restricted und EU Restricted erhalten. Kein anderers Produkt am Markt verfügt über solche Zulassungen.

    Leistungsfähige Administration
    s/mail lässt sich über Gruppenrichtlinien administrieren. Der Administrator kann festlegen, welche Funktionen und Optionen dem Anwender zur Verfügung stehen. Ein Administrator kann dabei eine Mindest-Sicherheitsstufe festlegen.

    Standardisierte Kryptographie
    s/mail arbeitet mit symmetrischer und asymmetrischer Kryptographie auf Basis von Standards wie S/MIME, PKIX, X.509 oder PKCS#1. Die verwendeten digitalen Zertifikate werden gewöhnlich von der Zertifizierungsstelle (CA) einer Public-Key-Infrastruktur (PKI) zur Verfügung gestellt. Als eines der ersten E-Mail-Plugins unterstützt s/mail vollumfänglich den RSA-Algorithmus gemäß PKCS1v2.2-Standard.

    Smartcard-Unterstützung
    s/mail bietet eine umfassende Smartcard- und Token-Unterstützung. Digitale Zertifikate auf dem Kartenchip werden automatisch erkannt und registriert. Eine automatische Abmeldung nach dem Entfernen der Smartcard kann konfiguriert werden. Smartcards werden über eine PKCS#11-Middleware angesprochen.

    Digitale Signaturen
    Neben Verschlüsselung unterstützt s/mail digitale Signaturen. Deren Gültigkeit und die Gültigkeit der entsprechenden Zertifikate werden über LDAP, HTTP oder OCSP geprüft.

    Integration
    s/mail arbeitet als Plugin. Anwender müssen sich nur auf minimale Veränderungen bei ihrer Arbeit mit E-Mails einstellen. Die meisten kryptographischen Prozesse laufen ohne Benutzerinteraktion ab. In einigen Fällen muss der Anwender die PIN seiner Smartcard oder eine Passphrase für den privaten Schlüssel eingeben.

    Zusätzliche Funktionen
    s/mail unterstützt Message Recovery, flexible Rollen einschließlich Vertretungsregelungen und zahlreiche weitere Funktionen.

    • Zulassung für „VS – Nur für den Dienstgebrauch“, „NATO Restricted“ und „EU Restricted“
    • OCSP-Unterstützung
    • PIN/Passwort-Caching
    • Smartcard-Unterstützung (PKCS#11)
    • ECC-Unterstützung
    • Watchdog
    • Management-Tool
    • Gruppen-Mailboxen
    • konfigurierbares CRL-Management
    • Flexible Gruppen-Policys
    • PKI-Unterstützung
    • Message Recovery

Referenzprojekt

Die Bundeswehr betreibt eine der größten IBM-Notes-Installationen der Welt und nutzt zudem Microsoft Outlook (mit X.400) in
kleinerem Maßstab. Es versteht sich von selbst, dass Verschlüsselung für die Bundeswehr einen hohen Stellenwert  hat. Die nativen Verschlüsselungsfunktionen von Notes und Outlook bieten jedoch weder eine angemessene Sicherheit noch alle erforderlichen Funktionen. Es zeigte sich, dass s/mail die einzige geeignete Alternative bot. Vor der Verwendung evaluierte die Bundeswehr s/mail in einem mehrjährigen Prozess, in dessen Folge cryptovision zahlreiche Verbesserungen in das Produkt aufnahm. Das Produkt wird kontinuierlich weiterentwickelt, um den hohen Sicherheitsanforderungen der Bundeswehr gerecht zu werden. Inzwischen liegen für s/mail Zulassungen des BSI für „VS – Nur für den Dienstgebrauch“, NATO Restricted und EU Restricted vor. Im Jahr 2007 erwarb die Bundeswehr eine Unternehmenslizenz.

Verwandte Produkte

  • CAmelot: Certificate Lifecycle Management for Enterprises and Governments
  • PKIntegrated: Integrated Key And Certificate Lifecycle Management
  • sc/interface: Smart card middleware