S/Mime Verschlüsselung bzw. PGP - paar Fragen...

Seite 1 von 2 - Forum: Applications, Apps & Drivers auf overclockers.at

URL: https://www.overclockers.at/applications/s-mime-verschluesselung-bzw-pgp-paar-fragen_251423/page_1 - zur Vollversion wechseln!

Hallo,

S/Mime Zertifkate laufen ja nach 1-3 Jahren ab - sende ich nun also ein verschlüsseltes Mail an einen Kunden und er möchte DIESES Mail nach zb 4 Jahren wieder lesen - geht das überhaupt (mein Zertifikat ist ja abgelaufen)

bei S/Mime gibt es ja auch die Möglichkeit von kostenlosern Zertifikaten bei Comodo - hat da jemand Erfahrung damit - vorallem - lassen sich diese Zertifkate nach einem Jahr (kostenlos?) verlängern

Den privaten und öffentlichen Schlüssel muss ich ja auf jedem Endgerät installieren auf dem ich verschlüsselt mit meiner E-Mail Adresse Mails verschicken möchte. Das heisst doch konkreterweise, dass ich nach Ablauf des Zertifikats auf JEDEM Endgerät das Zertifikat wieder austauschen muss oder ist es im Zuge der Verlängerung so, dass das Zertifikat selbst dann einfach eine neue Gültigkeitsdauer erhält?

Wenn ein Kunde in seiner Mailapp meinen öffentlichen Schlüssel rauslöscht:
kann ich ihm keine verschlüsselte Mail mehr schicken?
kann er Mails die er bisher von mir bekommen hat nicht mehr lesen?
kann nur er MIR kein verschlüsseltes Mail mehr schicken, da er kein Zertifikat mehr von mir hat?

kann man verschlüsselte Mails archivieren und wie sieht es mit der Suchfunktion aus - kann man verschlüsselte Mails überhaupt durchsuchen ?


zum Thema PGP

bei Thunderbird muss man soviel ich gesehen hab Enigmail verwenden, bei Firefox und Chrome muss man das Addon Mailevelope verwenden, Gmx setzt auf PGP, bei Outlook gibts das GpgOL Plugin

bei PGP laufen Zertifikate nie aus - soweit ich das verstanden hab - gibts dabei einen Nachteil ?

Der Ablauf bei PGP ist - dass ich zuerst ein unverschlüsseltes Mail mit meinem öffentlichen Zertifikat schicke, dass mein Kunde in seinen Zertifikatsstore bekommen muss (wie immer dieser aussieht) - dann muss er mir ebenso ein unverschlüsseltes Mail mit seinem öffentlichen Zertifikat schicken, dass bei mir in de Store kommt - dann müssen wir uns noch gegenseitig vertrauen - damit Verschlüsselte Mails verschickt werden können....

Nehmen wir mal an mein Kunde löscht aus irgendeinem Grund seinen privaten Key - kann er dann verschlüsselte Mails von mir noch lesen, die er bisher erhalten hat und ist auch das nicht mehr möglich.


das wars erstmal - freue mich über kundige Auskunft

Zitat aus einem Post von xaxoxix

S/Mime Zertifkate laufen ja nach 1-3 Jahren ab - sende ich nun also ein verschlüsseltes Mail an einen Kunden und er möchte DIESES Mail nach zb 4 Jahren wieder lesen - geht das überhaupt (mein Zertifikat ist ja abgelaufen)

und imho machts am meisten sinn sowieso wenn das ganze übers mailgateway abgewickelt wird (bzw. ist es halt am handlebarsten)
ist dann zwar nicht end-to-end verschlüsselt aber wenigstens ohne gröberes kopfzerbrechen realisierbar

Zitat aus einem Post von quilty

Sowohl bei S/Mime als auch bei PGP hat verschlüsseltes Verschicken von Mails nichts mit deinen Schlüssel (pulic/private) zu tun, sondern basiert rein auf dem public Key des Empfängers (von dir aus gesehen).

Wenn du jedoch vom Signieren sprichst, dann brauchst du deinen private Key auf dem entsprechenden Endgerät und bei S/Mime wird der public Key zum Verifizieren in der Message mitgeschickt und somit stellt sich das "Ablauf" Thema beim Empfänger nicht. Deine Private Keys musst natürlich ersetzen/erneuern auf allen Endgeräten.

S/Mime hat den Vorteil das es leichter zu administrieren ist (Keystores usw.) und die Integration bei den meisten Anbietern besser ist, der Nachteil ist, dass du Zertifikate managen und zahlen musst. Bei Firmen macht das eh der Sysadmin und privat wird man alle paar Jahre wohl die paar Geräte updaten können.
Bei PGP hast du ja private/public Keys mit denen Sysadmins meist keine so große Freude haben diese zu Managen bzw. in wenigen Enterprise Lösungen ordentlich unterstützt werden.

Wir haben seppmail appliances im Einsatz, übernehmen alle crypto-aktionen am Perimeter.
Funktioniert eigentlich gut, low maintenance systeme.

mit seppmail und z1 hast auch kein end-to-end (ist ja auch nur ein mailgateway)
das hättest nur wenn das mail verschlüsselt im exchange landet und du es am client (outlook, handy, thunderbird) entschlüsselst

das ist mir ja bewusst deswegen fragte ich ja ob mit den gateway lösungen jemand erfahrung im ö. gesundheitswesen hat (ö. krankenhäuser oder ähnliches) - denn wenn DIE gatewaybasierende lösungen einsetzen dürfen, sollte es ja passen

edit - seppmail hätte mit gina den vorteil - dass der empfänger erstmal kein zertifikat braucht

Wir haben im Kinderspital eine Gateway basierende Lösung im Einsatz, wenn Verschlüsselung aktiviert ist, wird das E-Mail und allfällige Attachments in ein PDF mit AES verschlüsselt, der Empfänger bekommt das encryptete PDF, der Absender das generierte Passwort, das telefonisch, per SMS oder per Fax dem Empfänger mitgeteilt wird.

Die Akzeptanz hält sich in Grenzen, aber die Anwender werden sich wohl oder übel damit abfinden müssen. Sensible Daten sind schützenswert.

warum ich mir nicht sicher bin, ob gatewaylösungen zulässig sind ist der §6 unter https://www.ris.bka.gv.at/GeltendeF...nummer=20008120

ich sehe da eigentlich keinen interpretationsspielraum was die verschlüsselung der daten anbelangt - der gesamte weg der daten muss verschlüsselt sein - eine gatewaylösung hebelt diesen umstand aber aus - unabhängig - ob die mail nach der decryption auf der appliance wieder verschlüsselt werden würde bis zum empfangsclient - auf er box liegt das mail zu einem gewissen zeitpunkt unverschlüsselt vor - und genau dort liegt eben der angriffspunkt

Ich bin kein Jurist, aber Outlook und Exchange sind ja ohnehin transportverschlüsselt und intern ist der Zugang zu dem E-Mail durch Benutzername und Kennwort eingeschränkt. Würde mich wundern, wenn das nicht reichen sollte.

es ist zwar der transportweg vom client zum mailserver verschüsselt - allerdings kannst DU als absender nicht sorge tragen, dass dein empfänger aus seinem mailpostfach - wo immer dieses liegt - ebenfalls einen verschlüsselten transportweg benutzt

und generell ist eben die rede davon, dass die daten zu verschlüsseln sind und aus dem obigen § lese ich eben einen end to end zwang ab

Wenn's rausgeht ist das Attatchment mit den sensiblen Daten ja hochverschlüsselt, somit sind die Daten sicher, sofern das Kennwort nicht unverschlüsselt mitgeschickt wird.

"stand der technik" ist transportverschlüsselung im zusammenhang mit dsgvo, siehe auch einschätzung der arge daten:

folgendes verhalten

hab auf einem rechner outlook 2007 im einsatz mit einem comodo s/mime zertifikat und e-mail adresse A
auf einem anderen rechner thunderbird im einsatz mit einem comodo s/mime zertifikat und einer e-mail adresse B

wenn ich von B nach A (thunderbird nach outlook) schicke ist das mail signiert undverschlüsselt
schicke ich von A nach B (outlook nach thunderbird) kann ich das mail nur signiert, aber nicht verschlüsselt verschicken

fehlt da bei thunderbird irgendwo ne einstellung dass das öffentliche zertifikat mitgeschickt werden soll?


wenn ich das öffentliche zertifikat von B exportiere und bei outlook einen neuen kontakt mit der e-mail adresse von B erstelle und dort das zertifikat importiere - dann kann ich nämlich auch von A nach B verschüsselt verschicken

zu end2end: heute hat z.b. ein krankenhaus das auch bei uns kunde ist smime zertifikate am mailgateway bestellt, d.h. eben nicht end2end

und ich konnte mir heute auch zufällig gina als empfänger anschauen und quasi testen.
wenn ich so ein mail bekomm würd ichs wohl (wenn möglich) ignorieren
nicht weil das portal schlecht ist oder sonstiges, sondern weils meine dokumentation des mailverlaufs ruiniert
und die exportierte .msg lässt sich bei mir nicht "einfach" im posteingang integrieren um das dann händisch nachzuarbeiten --> nein danke

overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025