Swiss Secure Messaging Trust Center - SSMTC (TM)

Was ist das “Swiss Secure Messaging Trust Center - SSMTC" (TM)?

 

Das SSMTC geht auf eine Initiative der Berner Kantonalbank zurück. Die Standard-Security Prozesse von PrivaSphere sehen für die PrivaSphere-Kunden vorab eine Person zu Person Authentisierung mittels „out-of-band“ Einmalpasswort (Message Unlock Code MUC) vor. Mit der dem SSMTC zugrundeliegenden, domänen-orientierten Verschlüsselung, werden alle Meldungen, egal welchen Inhalts, an ihre Domäne generell verschlüsselt. Dies bringt für die Endbenutzer den Vorteil, dass sie sich in keiner Weise um die Vertraulichkeit der Übermittlung kümmern müssen. Diese Verschlüsselungsart ist angemessen, wenn

 

  • Ihr domänen-internes Netzwerk geschützt ist und daher auf die Sicherung durch die Übertragungsplattform bis auf die Arbeitsstation des Empfängers verzichtet werden kann.
  • die Prozesse auf der Empfangsseite derart sind, dass domänen-interne Fehlleitungen aus der Sicht der Abläufe/Prozesse mit ausreichendem Schutz behandelt werden und
  • Amtsgeheimnis oder ähnlich geartete legale Vorkehrungen für die Aufrechterhaltung von Geheimnissen und allfällige Löschverpflichtungen vorhanden sind.

 

 

"Swiss Secure Messaging Trust Center - SSMTC" ist eine geschützte Marke

Als Empfänger von Meldungen via des SSMTC entstehen Ihnen keine Kosten.

Es gelten sie "Lizenz- und Nutzungsbedingungen Swiss Secure Messaging Trust Center (SSMTC)"

[Als Sender können Sie die im Verzeichnis des SSMTC aufgeführten Bestätigungen auch kostenlos verwenden - vorausgesetzt Sie bestätigen auch Ihre öffentlichen Schlüssel und stellen diese dem SSMTC Verzeichnis zur Publikation zur Verfügung.]

Es müssen von Ihnen als Empfänger keine zusätzlichen technischen Leistungen erbracht werden1. Es geht lediglich um die Bestätigung des Zertifikats/der Zertifikate, , dass das/die Zertifikat/e durch PrivaSphere Nutzer im nicht-vertraulichen Verkehr zu Ihnen eingesetzt werden sollen. Damit wird ein wichtiger Beitrag für die Sicherheit im E-Mail-Verkehr geleistet.

 

1 Es wird natürlich vorausgesetzt, dass Sie die privaten Schlüssel Ihrer Zertifikate «state-of-the-art» schützen und allfällige Revokationsinformation aktuell halten.

Durch die Bestätigung des Zertifikats/der Zertifikate ermöglichen Sie, dass PrivaSphere Nutzer dieses oder diese im allgemeinen E-Mail Verkehr zu Ihnen einsetzen und somit alle Mails sicher und vertraulich ausgeliefert werden.

Zu den Teilnehmern gehören führende Finanzdienstleister, öffentliche Verwaltungen und Firmen und Institutionen aus verschiedenen Branchen.

Mit einem Pin, also einer Art Reissnagel, nagelt der Eigentümer bestimmte, nicht fälschbare Eigenschaften seiner Zertifikate fest. Dazu erhält der sendende Client zusätzliche Informationen zum Zertifikat. In der Praxis hat es sich durchgesetzt, für das Pinning einen Hash über einen Public Key zu verwenden – bzw. mit SHA256 über das im X.509-Standard spezifizierte Zertifikat. Dieser SHA256-Wert kann sich ausschliesslich auf den Public Key des eigenen Schlüsselpaares beziehen. Da nur der Zertifikatsinhaber den dazu passenden Private Key hat, ist Missbrauch durch Dritte damit ausgeschlossen.

Denn selbst wenn ein Angreifer in einer Man-in-the-Middle-Position ein eigentlich gültiges, Zertifikat vorweisen kann, passt dessen Public Key nicht zum festgenagelten SHA256. Damit haben sich nicht nur die Sicherheit des simple enforced TLS, dass immer verschlüsselt wird, sondern es wird auch ausgeschlossen, dass sie für den falschen Empfänger verschlüsseln und daher haben Sie den vollen Schutz im Mailverkehr.

PrivaSphere bietet verschiede Lösungen für den sicheren, vertraulichen und verbindlichen Mailverkehr mit Kunden, Partnern und Behörden. Vom Signature Service für alle ausgehenden Mails über das sichere und vertrauliche Mail bis hin zum elektronischen Rechtsverkehr ERV mit Gerichten und Behörden.
Prinzipiell ist ein solches Pinning in beliebigen Mail-Transfer-Agents wie z.B. postfix leicht konfigurierbar. In der Summe ist dies aber so aufwändig zu unterhalten, dass kaum je mehr als ein halbes Dutzend Zieldomänen so manuell verwaltet werden.

PrivaSphere verfügt zur signifikaten Steigerung der diesbezüglichen Effizienz über eine graphische Benutzerschnittstelle (GUI), mit der ein Security Officer mandatory Zertifikate für Empfangsdomänen bestimmen (Pinning auf Basis SHA256) und bei Zertifikatswechsel der Gegenstelle das Pinning mit wenigen Klicks nachführen kann. Auch gibt es für Multi-Name Institutionen (Bsp. SIX-Group) eine Alias-Funktion, damit ein TLS-Zertifikat auch z.B. einem Dutzend Domänen zugewiesen werden kann und bei einem Wechsel nur 1x das Update gemacht werden muss und nicht 12+ Mal repetitiv dasselbe.
Zudem kann mit „grandfathering“ bei Ablauf das Folgezertifikat automatisch angenommen werden (sofern gleicher CN und Issuer oder CN-RegEx).

PrivaSphere AG ist die führende Schweizer Plattform für sichere E-Mail. Mit PrivaSphere können Unternehmen aller Grössen und aus den verschiedensten Branchen spontan sicher via Internet kommunizieren, ohne Installation von Software oder Hardware und ohne in eine eigene E-Mail-Sicherheits-Infrastruktur investieren zu müssen. PrivaSphere wurde mit dem CTI Start-Up Label der schweizerischen Förderagentur für Innovation ausgezeichnet und ist Preisträger des Swiss Technology Awards sowie ISO 27‘001:2013 zertifiziert. PrivaSphere ist die erste eidgenössisch anerkannte, sichere E-Mail-Zustellplattformtechnologie und die erste Schweizer Firma die "ePrivacyseal - geprüfter Datenschutz CH" zertifiziert ist.

 

 

Für alle weiteren Fragen stehen wir Ihnen gerne zur Verfügung.

Kontaktieren Sie uns unter Tel. 043 299 55 88, info@privasphere.com