xaxoxix
Dagegen da eigene Meinung
|
Hallo, S/Mime Zertifkate laufen ja nach 1-3 Jahren ab - sende ich nun also ein verschlüsseltes Mail an einen Kunden und er möchte DIESES Mail nach zb 4 Jahren wieder lesen - geht das überhaupt (mein Zertifikat ist ja abgelaufen) bei S/Mime gibt es ja auch die Möglichkeit von kostenlosern Zertifikaten bei Comodo - hat da jemand Erfahrung damit - vorallem - lassen sich diese Zertifkate nach einem Jahr (kostenlos?) verlängern Den privaten und öffentlichen Schlüssel muss ich ja auf jedem Endgerät installieren auf dem ich verschlüsselt mit meiner E-Mail Adresse Mails verschicken möchte. Das heisst doch konkreterweise, dass ich nach Ablauf des Zertifikats auf JEDEM Endgerät das Zertifikat wieder austauschen muss oder ist es im Zuge der Verlängerung so, dass das Zertifikat selbst dann einfach eine neue Gültigkeitsdauer erhält? Wenn ein Kunde in seiner Mailapp meinen öffentlichen Schlüssel rauslöscht: kann ich ihm keine verschlüsselte Mail mehr schicken? kann er Mails die er bisher von mir bekommen hat nicht mehr lesen? kann nur er MIR kein verschlüsseltes Mail mehr schicken, da er kein Zertifikat mehr von mir hat? kann man verschlüsselte Mails archivieren und wie sieht es mit der Suchfunktion aus - kann man verschlüsselte Mails überhaupt durchsuchen ? zum Thema PGP bei Thunderbird muss man soviel ich gesehen hab Enigmail verwenden, bei Firefox und Chrome muss man das Addon Mailevelope verwenden, Gmx setzt auf PGP, bei Outlook gibts das GpgOL Plugin bei PGP laufen Zertifikate nie aus - soweit ich das verstanden hab - gibts dabei einen Nachteil ? Der Ablauf bei PGP ist - dass ich zuerst ein unverschlüsseltes Mail mit meinem öffentlichen Zertifikat schicke, dass mein Kunde in seinen Zertifikatsstore bekommen muss (wie immer dieser aussieht) - dann muss er mir ebenso ein unverschlüsseltes Mail mit seinem öffentlichen Zertifikat schicken, dass bei mir in de Store kommt - dann müssen wir uns noch gegenseitig vertrauen - damit Verschlüsselte Mails verschickt werden können.... Nehmen wir mal an mein Kunde löscht aus irgendeinem Grund seinen privaten Key - kann er dann verschlüsselte Mails von mir noch lesen, die er bisher erhalten hat und ist auch das nicht mehr möglich. das wars erstmal - freue mich über kundige Auskunft 
|
quilty
Ich schau nur
|
S/Mime Zertifkate laufen ja nach 1-3 Jahren ab - sende ich nun also ein verschlüsseltes Mail an einen Kunden und er möchte DIESES Mail nach zb 4 Jahren wieder lesen - geht das überhaupt (mein Zertifikat ist ja abgelaufen) Ich glaub du vermischt hier ein paar Themen. Und zwar konkret Signieren und Verschlüsseln. Damit sind auch schon viele deiner Fragen beantwortet, weil sie einfach keinen Sinn machen. Sowohl bei S/Mime als auch bei PGP hat verschlüsseltes Verschicken von Mails nichts mit deinen Schlüssel (pulic/private) zu tun, sondern basiert rein auf dem public Key des Empfängers (von dir aus gesehen). Wenn du jedoch vom Signieren sprichst, dann brauchst du deinen private Key auf dem entsprechenden Endgerät und bei S/Mime wird der public Key zum Verifizieren in der Message mitgeschickt und somit stellt sich das "Ablauf" Thema beim Empfänger nicht. Deine Private Keys musst natürlich ersetzen/erneuern auf allen Endgeräten. S/Mime hat den Vorteil das es leichter zu administrieren ist (Keystores usw.) und die Integration bei den meisten Anbietern besser ist, der Nachteil ist, dass du Zertifikate managen und zahlen musst. Bei Firmen macht das eh der Sysadmin und privat wird man alle paar Jahre wohl die paar Geräte updaten können. Bei PGP hast du ja private/public Keys mit denen Sysadmins meist keine so große Freude haben diese zu Managen bzw. in wenigen Enterprise Lösungen ordentlich unterstützt werden.
Bearbeitet von quilty am 04.06.2018, 12:26
|
userohnenamen
leider kein name
|
und imho machts am meisten sinn sowieso wenn das ganze übers mailgateway abgewickelt wird (bzw. ist es halt am handlebarsten)
ist dann zwar nicht end-to-end verschlüsselt aber wenigstens ohne gröberes kopfzerbrechen realisierbar
|
xaxoxix
Dagegen da eigene Meinung
|
Sowohl bei S/Mime als auch bei PGP hat verschlüsseltes Verschicken von Mails nichts mit deinen Schlüssel (pulic/private) zu tun, sondern basiert rein auf dem public Key des Empfängers (von dir aus gesehen).
Wenn du jedoch vom Signieren sprichst, dann brauchst du deinen private Key auf dem entsprechenden Endgerät und bei S/Mime wird der public Key zum Verifizieren in der Message mitgeschickt und somit stellt sich das "Ablauf" Thema beim Empfänger nicht. Deine Private Keys musst natürlich ersetzen/erneuern auf allen Endgeräten.
S/Mime hat den Vorteil das es leichter zu administrieren ist (Keystores usw.) und die Integration bei den meisten Anbietern besser ist, der Nachteil ist, dass du Zertifikate managen und zahlen musst. Bei Firmen macht das eh der Sysadmin und privat wird man alle paar Jahre wohl die paar Geräte updaten können.
Bei PGP hast du ja private/public Keys mit denen Sysadmins meist keine so große Freude haben diese zu Managen bzw. in wenigen Enterprise Lösungen ordentlich unterstützt werden. Zusammenfassend also - es gibt kein Problem beim Kunden noch bei mir - wenn mein Zertifikat abläuft - ich (er) kann nachwievor die bisherig verschickten Mails lesen - einzige Voraussetzung - der Abgelaufene Key darf nicht gelöscht werden? Ich kann in den Mailarchiven nachwievor das Mail lesen, ich kann danach suchen, obwohl das Zertifikat abgelaufen ist ? Solang ich kein erneuertes Zertifikat habe kann ich halt nicht verschlüsselt schicken - so richtig ? ich bin mir nicht sicher ob mailgateways zulässig sind, geht um den gesundheitssektor (ärzte, apotheken, etc...) und diese müssen soviel ich es verstanden hab end-to-end verschlüsselt sein (Gesundheitstelematikgesetz 2012) - seppmail, z1 securemail - jemand erfahrung damit ?
|
Redphex
LegendRabbitOfNegativeEuphoria
|
Wir haben seppmail appliances im Einsatz, übernehmen alle crypto-aktionen am Perimeter.
Funktioniert eigentlich gut, low maintenance systeme.
|
userohnenamen
leider kein name
|
mit seppmail und z1 hast auch kein end-to-end (ist ja auch nur ein mailgateway)
das hättest nur wenn das mail verschlüsselt im exchange landet und du es am client (outlook, handy, thunderbird) entschlüsselst
|
xaxoxix
Dagegen da eigene Meinung
|
das ist mir ja bewusst deswegen fragte ich ja ob mit den gateway lösungen jemand erfahrung im ö. gesundheitswesen hat (ö. krankenhäuser oder ähnliches) - denn wenn DIE gatewaybasierende lösungen einsetzen dürfen, sollte es ja passen
edit - seppmail hätte mit gina den vorteil - dass der empfänger erstmal kein zertifikat braucht
Bearbeitet von xaxoxix am 04.06.2018, 18:47
|
mr.nice.
endlich fertig
|
Wir haben im Kinderspital eine Gateway basierende Lösung im Einsatz, wenn Verschlüsselung aktiviert ist, wird das E-Mail und allfällige Attachments in ein PDF mit AES verschlüsselt, der Empfänger bekommt das encryptete PDF, der Absender das generierte Passwort, das telefonisch, per SMS oder per Fax dem Empfänger mitgeteilt wird.
Die Akzeptanz hält sich in Grenzen, aber die Anwender werden sich wohl oder übel damit abfinden müssen. Sensible Daten sind schützenswert.
|
xaxoxix
Dagegen da eigene Meinung
|
warum ich mir nicht sicher bin, ob gatewaylösungen zulässig sind ist der §6 unter https://www.ris.bka.gv.at/GeltendeF...nummer=20008120ich sehe da eigentlich keinen interpretationsspielraum was die verschlüsselung der daten anbelangt - der gesamte weg der daten muss verschlüsselt sein - eine gatewaylösung hebelt diesen umstand aber aus - unabhängig - ob die mail nach der decryption auf der appliance wieder verschlüsselt werden würde bis zum empfangsclient - auf er box liegt das mail zu einem gewissen zeitpunkt unverschlüsselt vor - und genau dort liegt eben der angriffspunkt
|
mr.nice.
endlich fertig
|
Ich bin kein Jurist, aber Outlook und Exchange sind ja ohnehin transportverschlüsselt und intern ist der Zugang zu dem E-Mail durch Benutzername und Kennwort eingeschränkt. Würde mich wundern, wenn das nicht reichen sollte.
|
xaxoxix
Dagegen da eigene Meinung
|
es ist zwar der transportweg vom client zum mailserver verschüsselt - allerdings kannst DU als absender nicht sorge tragen, dass dein empfänger aus seinem mailpostfach - wo immer dieses liegt - ebenfalls einen verschlüsselten transportweg benutzt
und generell ist eben die rede davon, dass die daten zu verschlüsseln sind und aus dem obigen § lese ich eben einen end to end zwang ab
|
mr.nice.
endlich fertig
|
Wenn's rausgeht ist das Attatchment mit den sensiblen Daten ja hochverschlüsselt, somit sind die Daten sicher, sofern das Kennwort nicht unverschlüsselt mitgeschickt wird.
|
Cuero
Moderator
|
"stand der technik" ist transportverschlüsselung im zusammenhang mit dsgvo, siehe auch einschätzung der arge daten: Ist das Versenden von unverschlüsselten e-Mails oder Rechnungen zulässig?Link: www.argedaten.at ob man das auf die gesundheitstelematik übertragen kann. hm.
|
xaxoxix
Dagegen da eigene Meinung
|
folgendes verhalten
hab auf einem rechner outlook 2007 im einsatz mit einem comodo s/mime zertifikat und e-mail adresse A
auf einem anderen rechner thunderbird im einsatz mit einem comodo s/mime zertifikat und einer e-mail adresse B
wenn ich von B nach A (thunderbird nach outlook) schicke ist das mail signiert undverschlüsselt
schicke ich von A nach B (outlook nach thunderbird) kann ich das mail nur signiert, aber nicht verschlüsselt verschicken
fehlt da bei thunderbird irgendwo ne einstellung dass das öffentliche zertifikat mitgeschickt werden soll?
wenn ich das öffentliche zertifikat von B exportiere und bei outlook einen neuen kontakt mit der e-mail adresse von B erstelle und dort das zertifikat importiere - dann kann ich nämlich auch von A nach B verschüsselt verschicken
|
userohnenamen
leider kein name
|
zu end2end: heute hat z.b. ein krankenhaus das auch bei uns kunde ist smime zertifikate am mailgateway bestellt, d.h. eben nicht end2end
und ich konnte mir heute auch zufällig gina als empfänger anschauen und quasi testen.
wenn ich so ein mail bekomm würd ichs wohl (wenn möglich) ignorieren
nicht weil das portal schlecht ist oder sonstiges, sondern weils meine dokumentation des mailverlaufs ruiniert
und die exportierte .msg lässt sich bei mir nicht "einfach" im posteingang integrieren um das dann händisch nachzuarbeiten --> nein danke
|
Anmeldung