Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verständnis TLS sowie SMINE

Mitglied: Gregor81

Gregor81 (Level 1) - Jetzt verbinden

16.05.2018 um 09:25 Uhr, 607 Aufrufe, 14 Kommentare, 3 Danke

Hallo zusammen,

wir überlegen das wir unsere Emails per S/MINE verschlüsseln da wir oft personenbezogene Daten per Mail verschicken sowie empfangen.

Jetzt hat ein Systemhaus mir mitgeteilt das man S/MINE gar nicht braucht weil TLS 1.2 auch schon ausreicht, stimmt das so? Ich habe gedacht das bei TLS nur der weg verschlüsselt wird, jedoch nicht selbst die Email.

Ich will mich hier auf jeden Fall absichern, muss es nicht unbedingt haben das ich mal irgendwann ein Brief vom Anwalt bekomme weil wir personenbezogene Daten "unverschlüsselt" verschicken.

Vielen Dank für eure Hilfe.



Mitglied: Kraemer
16.05.2018 um 09:28 Uhr
Moin,

entweder war der Kerl besoffen, oder ihr solltet euch ein neues Systemhaus suchen.

Gruß
Bitte warten ..
Mitglied: Voiper
16.05.2018 um 09:34 Uhr
Ich glaube was Kraemer sagen wollte, war dass du durchaus recht hast und TLS nur die Kommunikation der Gegenstellen verschlüsselt. Die Mail bleibt weiterhin im Klartext erhalten. PGP und S/MIME sind da sinnvolle Ergänzungen.

Gruß, V
Bitte warten ..
Mitglied: LordGurke
16.05.2018, aktualisiert um 12:21 Uhr
Beide Angriffe funktionieren aber nur, wenn der Mailclient nicht nur automatisch entschlüsselt sondern auch noch ungefragt externe Ressourcen aus E-Mails nachlädt.
Letzteres ist seit spätestens den letzten 15 Jahren in allen mir bekannten Mailclients standardmäßig abgeschaltet.
Wer das demnach absichtlich wieder einschaltet hat es nicht besser verdient.

Bei Kryptografie gilt zudem sowieso, dass das beste System nichts taugt, wenn nicht alle beteiligten mit Sinn und Verstand arbeiten...
Bitte warten ..
Mitglied: ukulele-7
16.05.2018 um 12:27 Uhr
Also TLS kannst du natürlich machen und wenn z.B. dein E-Mail Server die Mail direkt dem Mail Server des Empfängers zustellt wäre die Übermittlung auch sicher. Da du aber i.d.R. die E-Mail an einen Mailserver deines Anbieters weiter reichst und den Empfänger Mailserver gar nicht kennst kannst du nicht mit Sicherheit sagen wo diese Email wie übermittelt wird.

Was SMIME angeht so fand ich den Artikel auf Golem doch irgendwie besser:
https://www.golem.de/news/pgp-smime-angreifer-koennen-sich-entschluessel ...
Grundsätzlich bin ich skeptisch von SMIME abzuraten ohne eine ernstzunehmende Alternative anbieten zu können. Die Antwort kann nur sein einen sicheren Mailclient einzusetzen und auf eine Verbesserung des Standards oder einen besseren Standard zu warten aber eben nicht einfach zu verzichten.
Bitte warten ..
Mitglied: Kraemer
16.05.2018 um 12:32 Uhr
Zitat von ukulele-7:
Die Antwort kann nur sein einen sicheren Mailclient einzusetzen und auf eine Verbesserung des Standards oder einen besseren Standard zu warten aber eben nicht einfach zu verzichten.
Dazu passend - vor allem weil hier schon heise verlinkt wurde - ein weiterer heise-Link: https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...
Bitte warten ..
Mitglied: ukulele-7
16.05.2018 um 12:38 Uhr
Und sie haben Signal empfohlen (was man ja jetzt nicht mal einfach so als E-Mail Ersatz einführt) und genau das hat gestern auch eine Sicherheitslücke gestopft. Ich kann nicht verstehen wie ein Forscher zu solchen Sicherheitslücken seriös keine Verschlüsselung als besser bezeichnen kann.
Bitte warten ..
Mitglied: java667
16.05.2018 um 12:59 Uhr
Zitat von ukulele-7:

Grundsätzlich bin ich skeptisch von SMIME abzuraten ohne eine ernstzunehmende Alternative anbieten zu können.

Da stimme ich zu und finde es persönlich höchst fahrlässig und auch unqualifiziert. Das ist wie den Airbag zu deaktivieren, weil er in manchen Fällen nicht richtig funktioniert. Ja, wenn das so ist, dann schalte ich das Ding eben ganz ab...

Hinzu kommt, dass es mittlerweile genug Gateways auf dem Markt gibt, die das ver- und entschlüsseln für den Client zentral übernehmen. Aber jetzt kommen sicher die Spezialisten und sagen: "Dann ist es aber keine echte Ende-zu-Ende Verschlüsselung mehr!"...moment ich such fix meinen Aluhut.
Bitte warten ..
Mitglied: emeriks
16.05.2018, aktualisiert um 14:24 Uhr
Hi,
moment ich such fix meinen Aluhut.
Das hat damit eigentlich überhaupt nichts zu tun, aber auch rein gar nichts!
Wer nur eine Sekunde länger nachdenkt, kommt sicher auch zu dem Schluss, dass es beim Verschlüsseln von Mails primär darauf ankommt, dass nur der vorgesehene Empfänger, bzw. derjenige, welcher den Schlüssel hat, die Mail lesen kann. Dazu gehören dann auch solche Szenarien, wenn Stellvertreter oder Einbrecher auf ein Postfach zugreifen und dann eben nicht in der Lage sein sollen, für den Postfachinhaber verschlüsselte Mails lesen zu können, es sei denn, sie haben den Schlüssel. Die Transportverschlüsselung leistet genau das aber nicht. Sie kann maximal sicherstellen, dass die Mail unverfälscht ankommt bzw. dass Dritte gar nicht mitbekommen, dass eine Mail an einen bestimmten Empfänger unterwegs ist. Insofern ist die Gegenüberstellung von TLS und S/MIME vollkommen fehl am Platz. Das Postfach ist das Bankschließfach. TLS ist der gepanzerte Transporter. Und S/MIME ist der verschlüsselte Brief, welcher im Bankschließfach abgeliefert und gelagert wird.

E.
Bitte warten ..
Mitglied: java667
16.05.2018 um 14:52 Uhr
Zitat von emeriks:

Das hat damit eigentlich überhaupt nichts zu tun, aber auch rein gar nichts!
Wer nur eine Sekunde länger nachdenkt...

Bitte vielleicht meinen Post für ein bis zwei Sekunden länger lesen...

Die Transportverschlüsselung leistet genau das aber nicht.

Ich denke du hast meine Aussage missverstanden. Es ging in meinem Post nicht um dieTransportverschlüsselung, sondern um ein Verschlüsselungs-Gateway welches die ver- und entschlüsselung via S/MIME oder PGP für den Client übernimmt (z.B. NoSpamProxy). Und da das ganze eben nicht im Mailclient vorgenommen wird, haben wir zum einen keine "echte" Ende-zu-Ende Verschlüsselung und zum anderen trifft efail in so einem Fall nicht zu.

Also mein Aluhut ging an die Personen, welches das oben beschriebene nicht als "echte" Ende-zu-Ende Verschlüsselung bezeichnen. Kann aber jeder halten wie er möchte... Fakt ist aber, nicht zu verschlüsseln ist wohl keine Alternative

Gruss,
Java
Bitte warten ..
Mitglied: Voiper
16.05.2018 um 15:24 Uhr
Zitat von java667:
Also mein Aluhut ging an die Personen, welches das oben beschriebene nicht als "echte" Ende-zu-Ende Verschlüsselung bezeichnen.

Hier liegt der Hase begraben...Niemand hat das behauptet ;)
Bitte warten ..
Mitglied: emeriks
16.05.2018, aktualisiert um 15:30 Uhr
Na dann denke ich, dass ich Dich richtig verstanden hatte.
Das mit dem "Aluhut" ist m.E. eine Verharmlosung eines ernsten Themas. Der TO schreibt von personenbezogenen Daten!
Diese Verschlüsselung über solche Gateways kenne ich. Allerdings auch nur als Sender-Gateway. Denn auch hier findet doch die Entschlüsselung erst beim Empfänger (Mailclient) statt? Wenn es da auch Empfänger-Gateways gibt, welche die Mails entschlüsseln und dann intern unverschlüsselt weiterleiten, dann ist das m.E. eine Verarschung des Senders, wenn dieser nicht explizit darüber in Kenntnis gesetzt wird, dass die Mail unverschlüsselt beim Empfänger ankommt.
Bitte warten ..
Mitglied: ukulele-7
18.05.2018 um 09:49 Uhr
Bei SMIME per Gateway ist das durchaus so das das Gateway die Entschlüsselung übernimmt. Bei uns ist das auch so gewollt denn SMIME soll tatsächlich nur den Transport absichern und nicht wie bei TLS bis zum Mailserver sondern darüber hinaus bis zum Netzwerk des Empfängers. Das geht halt mit TLS nicht wenn dazwischen "unbekannte" Server liegen.

Natürlich ist die E-Mail dann im Sende und im Empfänger Netz unverschlüsselt. Diesen kann man aber vielleicht mehr vertrauen. Wenn der Empfänger seinem Mail Admin nicht traut oder den Inhalt in seinem Archiv verschlüsselt liegen haben will würde ich eher zur PDF greifen. Wir möchten es aber definitiv unverschlüsselt auf dem Mailserver haben. Der Zugriff auf Fremede Postfächer ist dabei natürlich klar geregelt.

Ich würde aber nicht sagen das das aktuelle Angriffsszenario hier nicht greift. Das Gateway kann ja den Inhalt entschlüsseln und der Mailclient hat dann den entschlüsselten Inhalt, eingebettet in einen Link und kann diesen immernoch weiter leiten. Ich würde also nicht sagen das ein Gateway hier die Sicherheit erhöht.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Verständnis von VPN
Frage von tomolpiNetzwerke7 Kommentare

Hallo, habe mal eine kleine "Verständnisfrage" zum Thema VPN. Ich hab also hier einen Windows Server mit HyperV. In ...

Datenbanken
Trigger Verständnis
gelöst Frage von TiCarDatenbanken1 Kommentar

Hi ich bräuchte mal Hilfe bei einem Trigger bei einem MSSQL 2012R2 Datenbankserver, bei dem ich das Verhalten nicht ...

Netzwerke
OpenVPN TLS
Frage von 121851Netzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Windows Server

Aktivierung TLS - GPO - Webseite greift nicht auf TLS zurück

Frage von Martin89Windows Server1 Kommentar

Hallo, ich bin etwas ratlos. Folgendes Problem: Unsere Finanzbuchhaltung greift per IE auf die Seite von ElsterOnline zu. Insofern ...

Neue Wissensbeiträge
Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 13 StundenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Firewall

Möglicherweise neue Sicherheitslücke in Mikrotik-Firmware

Information von LordGurke vor 2 TagenFirewall3 Kommentare

Hallo zusammen, vor ein paar Monaten gab es ja bereits eine Sicherheitslücke in der Firmware von Mikrotik-Routern, über welche ...

Erkennung und -Abwehr
Rechner hacken mit Cortana, auch Remote
Information von Lochkartenstanzer vor 3 TagenErkennung und -Abwehr3 Kommentare

heise berichtet über den Vortrag von der Blackhat Open Sesame: Picking Locks with Cortana. Einige Fehler sind schon gefixt, ...

DSL, VDSL
Bei Unitymedia eine eigene IPv4 mit DS bekommen
Tipp von matze2090 vor 3 TagenDSL, VDSL1 Kommentar

Hallo, ich hatte noch vor kurzem eine DS-Lite Verbindung bei Unitymedia. Das nachteil zu DS ist das Port Forwarding ...

Heiß diskutierte Inhalte
Windows Netzwerk
Performance bei Terminalserver
Frage von azizalexanderWindows Netzwerk20 Kommentare

Hallo zusammen, Ich wusste nicht in welches Thema meine Frage passt ich Bitte um Vergebung falls ich hier falsch ...

LAN, WAN, Wireless
Bandbreitenverteilung Netzwerk Linux NAS Qnap
Frage von Re-AnimatorLAN, WAN, Wireless18 Kommentare

Hallo Allerseits, ich habe hier im Netzwerk ein Problem mit der Bandbreite für das ich keine Erklärung habe! und ...

Exchange Server
Exchange 2013 - Unable to Relay nach extern, SuperMailer
Frage von leon123Exchange Server13 Kommentare

Hallo zusammen, ich brauch mal wieder eure Hilfe. Ich beschäftige mich gerade mit dem SuperMailer und erhalte vom Exchange ...

Windows Server
Fujitsu Server Installation
Frage von stolliWindows Server10 Kommentare

Guten Tag, Ich benötige mal wieder eure Hilfe. Ich hab mir einen gebrauchten Fujitsu Server Primergy TX120 SP3 zugelegt ...