Verwendest Du eMail Verschlüsselung oder digitale Signaturen/Zertifikate? (02/2009)

[stk]

Moin,

immerhin bei einem meiner Kunden scheint das Thema angekommen zu sein! Frage: wie integriere ich das vernünftig in die (OS X 10.5./KMS) Serverstruktur. Pro Nase bei Thawte ein pers. Zertifikat abholen kanns ja wohl eher nicht sein? Schon gar nicht, wenn alle Nasen nach einem Jahr wieder ein neues brauchen …

Gruß Stefan

 

[Zeisel]

Für eine firmenweite Lösung wirst Du wohl um eine kostenpflichtige Zertifizierung nicht herum kommen. Hilfe findest Du vielleicht bei:

• http://www.verisign.de/
• https://globalsign.wis.de/
• http://www.telesec.de/
• http://www.trustcenter.de/

 

[pepi]

Stefan,
Du wirst definitiv pro Person bzw. pro Funktion ein Zertifikat brauchen und dieses auch jedes Jahr wieder erneuern müssen. Das ist bei allen Zertifikaten innerhalb der S/MIME PKI so. (Technisch könnte man auch zwei Jahre implementieren, aber bei personenbezogenen Zertifikaten kenne ich niemanden der mehr als ein Jahr Gültigkeit ausgibt.)

Wenn Du die Zertifikate nur firmenintern verwenden willst, erzeuge Dir einfach selbst eine Root CA, eine Intermediate CA und generiere entsprechende Client Zertifikate selbst. Nach draussen sind diese dann natürlich nicht sinnvoll einsetzbar.

Alternativ kannst Du Dir für einen Haufen Geld bei einer CA Deine eigene Intermediate CA signieren lassen und damit dann ebenfalls eigene Zertifikate ausstellen.

Die Thawte Variante funktioniert bei mir bei einigen Firmenkunden wunderbar. Ich selbst bin ja Notar und kann entsprechend 35 Punkte vergeben. Such Dir einfach noch einen zweiten und dritten Notar im Bekanntenkreis. So, daß ihr gemeinsam mindestens mal 50 Punkte vergeben könnt. Damit kannst Du problemlos jedem sofort ein Zertifikat mit dem eigenen Namen geben. Noch besser ihr schafft 100 Punkte (mindestens zu dritt) dann könnt ihr jeden der User gleich auch zum Notar machen, was es extrem vereinfacht wenn neue Mitarbeiter zu Zertifizieren sind, da immer ein paar Notare da sind um Punkte zu vergeben.

Ich mach in solchen Fällen immer eine Schulung der Mitarbeiter mit anschließendem Workshop zum Keys generieren und Zertifikate erstellen sowie "Key-signing Party" damit auch alle gleich die Punkte haben und alles installiert ist. Außerdem kann man so gleich sämtliche Schlüssel und Zertifikate gesichert backuppen und im Safe (oder Bankschließfach, oder beim Notar) hinterlegen.

Der Aufwand ist in jedem Fall in etwa der Selbe, meiner Meinung nach. Allerdings finde ich das Geld welches der Kunde auszugeben gewillt ist, besser bei Dir als Dienstleister und in der Mitarbeiterschulung aufgehoben als bei einer großen Firma die damit Geld verdient, daß sie Zufällige Zeichenketten von 2048 Bytes länge generiert und dafür Unsummen verlangt. Du verstehst was ich meine.
Gruß Pepi

 

[Zeisel]

Die Idee finde ich gut. Warum nicht innerhalb der Firma eigene Notare installieren? Über die Firma Notare einladen, diese (gegen Honorar) die erste Schulung durchführen lassen und im Anschluss eine "Key-signing Party" veranstalten? Das Geld ist sicher gut investiert. MA, die das machen würden, fänden sich. Die Notare müsste man von außerhalb kommen lassen, in Münster gibt es nicht genug. Mal sehen, ob ich das meinem Chef schmackhaft machen kann.

Auf die einfachsten Ideen kommt man oft zuletzt

@Pepi: Spricht bei Thawte (ALG) irgendetwas gegen eine solche kommerzielle Nutzung? Ich habe nichts gefunden. Es geht ja nicht darum, mit den eigenen Notaren über die Ausstellung von Zertifikaten Geld zu verdienen (wenn es die einzelnen Notare dann in ihrer Freizeit so handhaben ist das ja OK, meinem Chef traue ich diese "Geschäftsidee" allerdings auch zu...). Aber innerhalb der Firma kann so jederzeit für jeden MA ein neues Zertifikat ausgestellt werden.

Dabei kommt mir spontan der Gedanke des Missbrauchs, denn auch "dunkle" Firmen können sich dieser Methode bedienen...

 

[stk]

Moin,

Du wirst definitiv pro Person bzw. pro Funktion ein Zertifikat brauchen und dieses auch jedes Jahr wieder erneuern müssen. Das ist bei allen Zertifikaten innerhalb der S/MIME PKI so. (Technisch könnte man auch zwei Jahre implementieren, aber bei personenbezogenen Zertifikaten kenne ich niemanden der mehr als ein Jahr Gültigkeit ausgibt.)

Das hatte ich fast befürchtet .

Wenn Du die Zertifikate nur firmenintern verwenden willst, erzeuge Dir einfach selbst eine Root CA, eine Intermediate CA und generiere entsprechende Client Zertifikate selbst. Nach draussen sind diese dann natürlich nicht sinnvoll einsetzbar.

Genau um den externen Mailverkehr gehts aber, insbesondere mit dem Hintergedanken Rechnungen per PDF zu versenden.

Alternativ kannst Du Dir für einen Haufen Geld bei einer CA Deine eigene Intermediate CA signieren lassen und damit dann ebenfalls eigene Zertifikate ausstellen.

Definiere »Haufen« …

Die Thawte Variante funktioniert bei mir bei einigen Firmenkunden wunderbar. Ich selbst bin ja Notar und kann entsprechend 35 Punkte vergeben. Such Dir einfach noch einen zweiten und dritten Notar im Bekanntenkreis. So, daß ihr gemeinsam mindestens mal 50 Punkte vergeben könnt. Damit kannst Du problemlos jedem sofort ein Zertifikat mit dem eigenen Namen geben. Noch besser ihr schafft 100 Punkte (mindestens zu dritt) dann könnt ihr jeden der User gleich auch zum Notar machen, was es extrem vereinfacht wenn neue Mitarbeiter zu Zertifizieren sind, da immer ein paar Notare da sind um Punkte zu vergeben.

Ich hab ja selbst nicht mal die 50 Punkte voll Ich war bei einer KeySigning-Party dabei (wie ich auch in dem Kontext hier schon mal berichtete) und fand das alles für einen Neuling einigermassen Voodoo . Ok - in einem kleineren Rahmen, firmenintern wird das sicher etwas geschmeidiger als auf einer anonymen Veranstaltung, wo man erstmal rausfinden muß, wer wieviele Punkte für was vergeben kann, wer Thawte macht und wer PGP, …

Gruß Stefan

 

[Nomax2000]

Ich betreue einen kleinen Server. Ich habe nun gesehen das es auch Zertifikate für Server gibt. Kann mir jemand erklären wie das genau funktioniert, vor allem im Bezug auf Emails?

 

[pepi]

[…]@Pepi: Spricht bei Thawte (ALG) irgendetwas gegen eine solche kommerzielle Nutzung? Ich habe nichts gefunden. Es geht ja nicht darum, mit den eigenen Notaren über die Ausstellung von Zertifikaten Geld zu verdienen (wenn es die einzelnen Notare dann in ihrer Freizeit so handhaben ist das ja OK, meinem Chef traue ich diese "Geschäftsidee" allerdings auch zu...). Aber innerhalb der Firma kann so jederzeit für jeden MA ein neues Zertifikat ausgestellt werden.[…]

Ein Notar darf für die Identitätsfeststellung einen Unkostenbeitrag einheben. Das ist laut Thawte definitiv erlaubt und viele Notare nehmen dafür auch 5 oder 10 Euro, was ok ist. Ich persönlich mache das immer kostenlos wenn die Leute zu mir kommen. Ich möchte die Thematik und den Einsatz von Zertifikaten damit fördern.

Bei einer Schulung über den Sinn, Zweck und Einsatz von S/MIME Zertifikaten geht es ja nicht um kommerzielle Nutzung von Thawte Zertifikaten, sondern um beliebige S/MIME Zertifikate. Das ist Anbieter agnostisch. Man verdient sein Geld damit eine Schulung zu machen, nicht ein Zertifikat zu verkaufen. Ich sehe da überhaupt keine Probleme damit.

[…]Genau um den externen Mailverkehr gehts aber, insbesondere mit dem Hintergedanken Rechnungen per PDF zu versenden.
[…]
Definiere »Haufen« …
[…]
Ich hab ja selbst nicht mal die 50 Punkte voll […]

Na dann aber husch und Punkte geholt! Wir haben da gemeinsame bekannte die da evt. hilfreich mitwirken können.

Ich kenne die deutsche Rechtslage zur digitalen Rechnungslegung nicht. In Österreich sind dazu Zertifikate von der Lobby gesetzlich vorgeschriebene Anbieter notwendig. Grundsätzlich ist das österreichische Signaturgesetz allerdings höcht schwachsinnig und in Realität nicht wirklich umsetzbar. Mal abgesehen von der Diskrepanz, daß Papierrechnungen auch noch niemals unterschrieben werden mußten. Wieso ist dies also bei einer digitalen Rechnung auf einmal zwingend notwendig und so dermaßen kompliziert, daß es kein normaler Mensch jemals umsetzen könnte?

Der Haufen…
Bei Verisign zahlt man für ein persönliches Email Zertifikat 19,95 $ US pro Jahr. Dabei ist meiner Ansicht nach die Sicherheit so gestaltet, daß dieses Zertifikat aussagt, daß jemand 19,95 bezahlt hat. Wer diese Person wirklich ist, hat nie jemand überprüft. Bei Thawte (übrigens ein Tochterunternehmen von Verisign) ist das anders. Bei Web-of-Trust basierten Zertifikaten ist immer zwingend ein (genaugenommen mindestens zwei oder mehr) persönliche Treffen mit Notaren notwendig.
Hinzu kommt, daß keine Kosten selbst für die Zertifikate entstehen. Die Administrative Arbeit ist in beiden Fällen gleich und ohnehin notwendig.

Ich betreue einen kleinen Server. Ich habe nun gesehen das es auch Zertifikate für Server gibt. Kann mir jemand erklären wie das genau funktioniert, vor allem im Bezug auf Emails?

S/MIME Zertifikate hängen an der Identität einer Person und haben mit Server Zertifikaten für SSL oder DKIM nichts zu tun.
Gruß Pepi

 

[Hairy]

Ich würde auch ganz gerne E-Mail-Verschlüsselung verwenden, aber mit möglichst geringem Aufwand. Da ich gelesen habe, dass GnuPG/PGP von Mail nicht unterstützt wird, werde ich wohl ein S/MIME-Zertifikat nehmen. Was genau sind dabei die Vor- und Nachteile und wie genau läuft das ab?
Und wie sieht es mit einer Integration in Google Mail sowie entsprechende IMAP-Clients für iPhone und Symbian OS aus?

 

[pepi]

Wirf doch mal einen Blick in diesen und die beiden Vorläufer Threads, da wird das schon recht gut abgehandelt und erklärt! Fürs iPhone kommt S/MIME Unterstützung mit Firmware 3.0 (im Juni ca.). Zu Gmail und Symbian kann ich nichts sagen, da ich beides nicht einsetze.
Gruß Pepi

 

[da_jones]

@Hairy: Bitte einfach mal in meine Signatur schauen/ klicken. Das sollte erläuternd genug sein.

 

[Hairy]

da_jones: Vielen Dank, super Video!

Nur frage ich mich, ob man thawte trauen kann. Was ist, wenn gewisse Organisationen sich mit denen in Verbindung setzen? Ist gewährleistet, dass mein Zertifikat von denen nicht rausgerückt wird, und dann nachher doch wieder der Staat mitlesen kann?

 

[C64]

So, heute hat es mich also überkommen. Aus irgendeinem Grund habe ich mich endlich ein wenig mit dem Thema (noch sehr rudimentär!) auseinandergesetzt und PGP für Mail installiert.
Gibt ja wirklich genug gute Anleitung da draußen im Netz!

Signieren klappt schon mal wunderbar
Verschlüsseln... da fehlen mir noch Kontakte, die das auch einsetzen
Aber ich werde mich die nächsten Jahre darum kümmern, dass auch meine Freunde Ihre Mails verschlüsseln. Die ersten Kommentare hab ich schon mal von meiner Freundin anhören dürfen. "Meine Mails interessieren doch eh niemanden!" - naja, der wird das einfach von mir aufn Mac gehaun!

 

[MacAlzenau]

Verschlüsseln... da fehlen mir noch Kontakte, die das auch einsetzen
Aber ich werde mich die nächsten Jahre darum kümmern, dass auch meine Freunde Ihre Mails verschlüsseln.

Wenn du dafür ein Rezept findest, poste es dick und fett!
Ich würde ja auch gerne, aber die besten Antworten sind noch "Ach ja, irgendwann..." und der Rest fragt nur "Wieso" und diese Leute denken wohl, weil sie selbst Probleme mit ihren Mails haben, könne da niemand reinschauen. (Umgekehrt beschwerte sich mal jemand, daß Bilder von ihr "im Internet veröffentlicht worden wären", weil jemand nach einer Feier ein paar Fotos rumgemailt hatte - aber zwar die gleiche Dummheit, aber ist ein anderes Thema.)

 

[pepi]

Ja, für Links zu guten Anleitungen sind wir hier natürlich auf jeden Fall zu haben! Bitte her damit!

Meine Freundin hat mir einfach irgendwann unvermutet ein GnuPG verschlüsseltes Mail geschickt. Ich muß gestehen, daß ich da nicht schlecht blöd geschaut habe. War aber sehr erfreulich. Demnächst wird mein Buchhalter auch versorgt, allerdings mit S/MIME in seinem Fall.

Ich selbst verwende natürlich beides um mit gutem Beispiel voran zu gehen!
Gruß Pepi

 

[stk]

Moin,

Info von einer Veranstaltung letzte Woche: Kerio arbeitet an einer transparenten Encryption für den Mailserver (KMS). D.h. Als Anwender schreibe und lese ich ganz normal meine Mails, der Server kümmert sich im Hintergrund darum dass meine ausgehende eMails verschlüsselt, bzw. eingehende verschlüsselte eMails entschlüsselt werden. Leider noch ohne konkretes Releasedatum - im nächsten großen Aufschlag der für August/September geplant ist aber wohl eher nicht.

Gruß Stefan

 

[pepi]

Dabei handelt es sich um welchen Standard? Mit welchen anderen Mailservern ist das einsetzbar? Welche Verschlüsselung wird verwendet? Wie sieht das Key Management aus? Was ist mit dem Transportweg vom Client zum Mailserver oder der Möglichkeit Mails im Volltext am Mailserver zu klauen?

Das ist definitiv kein Ersatz für echte End-to-End Verschlüsselung wie sie S/MIME oder GnuPG bieten.
Gruß Pepi

 

[stk]

ich denke das das genau die Fragen sind, die das Releasedatum nach hinten schubsen

 

[da_jones]

da_jones: Vielen Dank, super Video!

Nur frage ich mich, ob man thawte trauen kann. Was ist, wenn gewisse Organisationen sich mit denen in Verbindung setzen? Ist gewährleistet, dass mein Zertifikat von denen nicht rausgerückt wird, und dann nachher doch wieder der Staat mitlesen kann?

Gern geschehen!

Zu deinen Zweifeln: Die sind mir auch schon gekommen. ABER zum einen wird der private Schlüssel ja erst bei dir auf dem Rechner generiert. An der Stelle hat thawte damit überhaupt nichts mehr zu tun. Sie stellen ja "nur" die Technik.
Zum anderen ist das Vertrauen der Nutzer deren Kapital. Wenn die sich einen Fauxpas à la Deutsche Telekom oder Bahn leisten würden, könnten die den Laden dicht machen.

Aber wer weiß?! Ganz ohne ein gewisses Basisvertrauen geht es wohl nicht.

 

[C64]

Ich hab gerade ein Problem bei meiner Freundin und ihrem MacBook (Mai 2006 - 10.5.7).

Ich habe alles genauso durchgeführt wie bei meinem eigenen MacBook (nach dieser Anleitung).
Wenn ich allerdings im GPG Schlüsselbund einen Schlüssel erstellen möchte, dann braucht er zum Erstellen des Schlüssels nur minimal (weniger als eine Sekunde - bei einer Länge von 4096) und erstellt dann auch keinen Schlüssel. Hab schon alles neu installiert, Mac neu gestartet...
Woran könnte das liegen? Wie kann ich manuell einen Schlüssel (möglichst einfach) erstellen?

EDIT: Hab den Grund gefunden. Man darf im Namen keine Umlaute verwenden Dumm, dass meine Freundin aber eben einen solchen im Nachnamen trägt

 

[Hairy]

Ich selbst verwende natürlich beides um mit gutem Beispiel voran zu gehen!

Geht das so einfach? Kommen sich die beiden Methoden nicht in die Quere? Und wie sieht es mit der Unterstützung in Mail (OS X/iPhone) aus?