Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PGP Infrastruktur in Firma aufbauen - Denk-Knoten im Kopf

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: it-frosch

it-frosch (Level 2) - Jetzt verbinden

27.09.2013, aktualisiert 20:10 Uhr, 4123 Aufrufe, 14 Kommentare, 4 Danke

Guten Abend,

ich habe jetzt schon eine ganze Weile gesucht, da ich recht frisch in dem Thema bin aber wahrscheinlich mit den falschen Suchbegriffen.

Umgebung:
Windows 7 mit Exchange 2007

Aufgabenstellung:
Wir wollen mit Kunden verschlüsselte E-Mails austauschen, haben aber keine Möglichkeit dies mit dem Exchangeserver zu organisieren, da wir ihn nicht administrieren. Auch auf das AD haben wir nur beschränkten Zugriff. Gateway fällt ebenfalls aus, da kein Budget.
Statt dessen haben ich mir vorgestellt auf den E-Mail Clients (Outlook 2007) PGP4win zu installieren und einen Schlüsselserver im Firmennetzwerk aufzustellen der eine Verbindung zu einem externen Schlüsselserver hat, um den Schlüsselaustausch zu gewährleisten.

Soweit ist das erst einmal klar. Jetzt kommt mein Knoten im Kopf.
Wir bekommen von einem Kunden den öffentlichen Schlüssel für die zur Kommunikation zu verwendende E-Mail Adresse (info@kunden-domain.de). Den speichern wir auf dem internen Schlüsselserver.
Somit kann jeder Mitarbeiter eine E-Mail dieses Kunden entschlüsseln, die von info@kunden-domain.de kam.

Wie organisiere ich es jetzt, das bei mir im Unternehmen ebenfalls alle Mitarbeiter eine solche E-Mail Adresse nutzen können (info@unsere-domain.de)?

Zu dem an die E-Mail Adresse gebundenen privaten Schlüssel gehört ja noch ein Kennwort. Das möchte ich aber nicht jedem Mitarbeiter geben müssen, da ja Mitarbeiter auch mal die Firma verlassen.

Kann es sein, dass ich das mit der zentralen E-Mail Adresse des Kunden falsch verstanden habe oder wo liege ich hier daneben?

Ich wollte verhindern, dass jeder Mitarbeiter die E-Mails mit seinem eigenen public key verschlüsselt und wir dann Probleme haben auf alte E-Mails zuzugreifen, wenn ein Mitarbeiter das Unternehmen verlassen hat.

Für gedankliche Hilfeleistungen und Links zum Thema bin ich sehr dankbar.

grüße vom it-frosch
Mitglied: Rudbert
27.09.2013 um 21:06 Uhr
Hallo,


Der private schlüssel bleibt privat (beim user - durch kennwort gesichert). Der öffentliche schlüssel wird den leuten die mit dir sicher kommunizieren sollen bekannt gemacht.

Zum verschlüsseln einer nachricht an eine person benötige ich deren öffentlichen schlüssel - zum entschlüsseln benötigt diese person ihren privaten schlüssel.

So einfach ist pgp :D


Mfg
Bitte warten ..
Mitglied: it-frosch
27.09.2013 um 21:20 Uhr
Hallo Rudbert,

So einfach ist pgp :D

Wahrscheinlich habe ich mich etwas unverständlich ausgedrückt.
Die Funktionsweise von PGP ist mir geläufig.

Es geht hier um den folgenden Fall. Ich möchte einen zentralen Schlüssel (verbunden mit einer Firmen E-Mail Adresse) nutzen, ohne dass ich jedem Mitarbeiter das Kennwort für den privaten Key des zentralen Schlüssels geben muss. Es soll nicht jeder MA einen eigenen privaten Schlüssel nutzen, da ja sonst der Kunde, der diesen MA eine verschlüsselte E-Mail senden will von allen MA die mit ihm kommunizieren könnten aus unserer Firma, die öffentlichen Schlüssel haben müsste.

Da ist kein Problem, das weiß ich, aber ich möchte das nicht unbedingt, da (wenn du oben genau gelesen hast) ich beim Weggang eines MA nicht immer dessen Passwort bekommen kann, mit dem seine E-Mails verschlüsselt sind.


grüße vom it-frosch
Bitte warten ..
Mitglied: aqui
27.09.2013, aktualisiert um 21:35 Uhr
Sieht aber nicht so aus als ob dir die Funktionsweise geläufig ist...
Wir bekommen von einem Kunden den öffentlichen Schlüssel für die zur Kommunikation zu verwendende E-Mail Adresse (info@kunden-domain.de). Den speichern wir auf dem internen Schlüsselserver.

Das ist soweit richtig !
Somit kann jeder Mitarbeiter eine E-Mail dieses Kunden entschlüsseln, die von info@kunden-domain.de kam.

Das ist natürlich Blödsinn, denn "entschlüsseln" kannst du diese Email niemals !
Entschlüsseln kann außschliesslich NUR der Empfänger also der Kunde (info@kunden-domain.de) diese Email, niemals aber du selber.
Das wäre Blödsinn und würde dem Prinzip von PGP diametral widersprechen.

Der Kunde (info@kunden-domain.de) verschüsselt sein Email an euch mit eurem öffentlichen Schlüssel ! Diese Email kannst du, und nur du dann wieder entschlüsseln.
So einfach ist PGP und genau DA hast du deinen Knoten im Kopf !!
Besser also nochmal genau nachlesen: http://de.wikipedia.org/wiki/Pretty_Good_Privacy bzw. http://www.gpg4win.de und auch hier: https://www.datenschutzzentrum.de/selbstdatenschutz/internet/pgp/anleitg ...
Bitte warten ..
Mitglied: it-frosch
27.09.2013, aktualisiert um 21:47 Uhr
Hallo aqui,

Entschlüsseln kann außschliesslich NUR der Empfänger also der Kunde (info@kunden-domain.de) diese Email, niemals aber du selber.
Das wäre Blödsinn und würde dem Prinzip von PGP diametral widersprechen.

Da hast du natürlich Recht.

Aber wahrscheinlich drücke ich mich immer noch etwas unverständlich aus.

Also noch einmal anders.

Der Kunde schickt mir eine E-Mail, die mit unserem öffentlichen Firmen Schlüssel verschlüsselt wurde zu. Beim Öffnen der E-Mail (Entschlüsseln) muss ich das zu unserem privaten Firmen Schlüssel gehörige Kennwort eingeben. D.h. jeder MA in unserer Firma müsste das Kennwort kennen, damit mit dieser E-Mail Adresse gearbeitet werden kann.

Vielleicht ist das ja gar nicht problematisch und ich sehe hierin nur ein Problem?

Besser zu verstehen, was ich meine?

grüße vom it-frosch
Bitte warten ..
Mitglied: aqui
27.09.2013 um 21:50 Uhr
Na ja das widerspricht ja ziemlich dem Sinn von PGP, das sowas wie Gruppen Emails nicht vorsieht. Konterkariert ja auch etwas das Prinzip.
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Bei Gruppenemails musst du in den sauren Apfle beissen das Passwort bekannt zu machen. Allerdings kannst du es auch dann gleich ans schwarze Brett der Firma pinnen. Damit ist es dann kompromittiert und eigentlich nutzlos !
Bitte warten ..
Mitglied: it-frosch
27.09.2013 um 22:06 Uhr
Hallo aqui,

Ok, dann denke ich mal das ich das falsch verstanden habe mit der firmenweit einheitlichen E-Mail PGP Adresse

Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können,
aber nicht die PGP E-Mails des Kunden an ihn wenn ich sein Kennwort nicht bekommen habe.

Wie kann man so etwas lösen?

Grüße vom it-frosch
Bitte warten ..
Mitglied: Dobby
28.09.2013, aktualisiert um 17:25 Uhr
Deleted because not related!
Gelöscht, da das Thema verfehlt wurde.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2013, aktualisiert um 20:01 Uhr
Zitat von aqui:
Na ja das widerspricht ja ziemlich dem Sinn von PGP, das sowas wie Gruppen Emails nicht vorsieht. Konterkariert ja auch etwas das
Prinzip.
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Bei Gruppenemails musst du in den sauren Apfle beissen das Passwort bekannt zu machen. Allerdings kannst du es auch dann gleich
ans schwarze Brett der Firma pinnen. Damit ist es dann kompromittiert und eigentlich nutzlos !

Moin,

Die Alternative ist, daß man den privaten Schlüssel in einem Mailgateway der Firma hat und dort die Mails, die an die Gruppe gehen automatisch entschlüsselt und dann im Klartext an die betreffenden Mitarbeiter weiterleitet. So muß keiner dieser Mitarbeiter den privaten Schlüssel der Gruppenadresse bekommen. Man könnte natürlich auch alternativ statt im Klartext die Mail nach dem entschlüsseln an die Mitarbeiter jeweils mit deren persönlichen Schlüsseln verschlüsselt weiterleiten.

lks


Edit: Typo und style.
Bitte warten ..
Mitglied: it-frosch
28.09.2013, aktualisiert um 13:48 Uhr
Hallo Lochkartenstanzer,

dann kann ich das also nur mit einem Mailgateway lösen. Das hatte ich mittlerweile schon befürchtet.
Dann muss ich mich damit mal geschäftigen.

Danke für deine Antwort.

Grüße vom it-frosch
Bitte warten ..
Mitglied: it-frosch
28.09.2013, aktualisiert um 21:48 Uhr
Hallo D.o.b.b.y.,

schön, dass wir uns verstanden haben.

grüße vom it-frosch
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2013, aktualisiert um 20:04 Uhr
Zitat von it-frosch:
dann kann ich das also nur mit einem Mailgateway lösen.

So wie Du es geschildert hast, ja.

Dann muss ich mich damit mal geschäftigen.

Insbesondere den unterschied signieren/unterschreiben und verschlüseln solltest Du Dir verdeutlichen:

  • Signieren erfolgt mit dem privaten Schlüssel des Unterzeichners,
  • verschlüsseln mit dem öffentlichen Schlüssel des Adressaten.

Danke für deine Antwort.

gern geschehen.

lks
Bitte warten ..
Mitglied: reksierp
30.09.2013 um 20:50 Uhr
"Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können, "
Das kannst Du niemals, denn die mit dem öffentlichen Schlüssel des Kunden verschlüsselten Mails können nur mit dem privaten Schlüssel des Kunden gelesen werden.
Vor Jahren bin ich auf das Problem gestoßen: ich hatte PGP-Verschlüsselte Mails versandt, die ich später nicht mehr lesen konnte. Abhilfe: VOR dem Verschlüsseln die Mail unverschlüsselt speichern. Dies ist aber dann kein Beweis mehr, das das Mail auch so versandt wurden, denn nach der Speicherung in Klarschrift kann das Mail ja vor der Verschlüsselung noch geändert werden.
Mein Vorschlag: von einem Bekannten, der die IT in einer großen Anwaltskanzlei macht (200 Anwälte, 600 MA), hörte ich im Rahmen einer Besichtigung seiner IT, das der Schlüsselserver (abgesehen von Hardware) nur 400 € Softwarekosten verursacht.
Auf Wunsch kann ich mich nochmal genau nach dem Produkt erkundigen.
Gruß reksierp
Bitte warten ..
Mitglied: Lochkartenstanzer
01.10.2013, aktualisiert um 08:37 Uhr
Zitat von reksierp:
"Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können, "
Das kannst Du niemals, denn die mit dem öffentlichen Schlüssel des Kunden verschlüsselten Mails können nur mit
dem privaten Schlüssel des Kunden gelesen werden.
Vor Jahren bin ich auf das Problem gestoßen: ich hatte PGP-Verschlüsselte Mails versandt, die ich später nicht
mehr lesen konnte. Abhilfe: VOR dem Verschlüsseln die Mail unverschlüsselt speichern. Dies ist aber dann kein Beweis
mehr, das das Mail auch so versandt wurden, denn nach der Speicherung in Klarschrift kann das Mail ja vor der Verschlüsselung
noch geändert werden.

Das ist ganz einfach: Man, d.h. der Mitarbeiter muß einfach jede mail per CC/BCC auch an eine firmeninterne Adresse schicken (wegen der Archivirungspflicht bestimmter Mails sogar sinnvoll). Dann wird diese CC/BCC üblicherweise mit dem frmenintenen Schlüssel verschlüsselt. Und da der Mitarbeiter pgp/gpg genutzt, kann er diese Mail auch signieren, so daß da auch sichergestellt ist, daß sie tatsächlich mal von ihm geschickt wurde.

lks

PS. Eventuell muß der Admin die Mailclients so vorkonfigurieren, daß der Mitarbeiter den CC/BCC nicht "vergißt".
Bitte warten ..
Mitglied: reksierp
01.10.2013 um 10:07 Uhr
Gute Idee! Manchmal sieht man den Wald vor Bäumen nicht ...
Leider zu spät: bin schon seit 2 Jahren Rentner ....
Damals bildete ich Fachinformatiker Systemintegration aus, und Verschlüsselung fand ich immer hochinteressant.
Literaturempfehlung:
Simon Singh
Geheime Botschaften
dtv wissen
»Top secret« - die spannende Geschichte der geheimen Codes, erzählt von Bestsellerautor Simon Singh
Euro 12,90 [D]
Spannend sich wie ein Krimi!
Gruß reksierp
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
Relais-Knoten
gelöst Frage von How-ToNetzwerkgrundlagen2 Kommentare

hey leute, kann mir jemand kurz und knapp erklären was ein relais-knoten ist? vielen lieben dank =)

Netzwerkmanagement
Netzwerk für kleine Firma als Laie aufbauen - bitte um Hilfe
Frage von stephan902Netzwerkmanagement40 Kommentare

Hallo, ich muss für eine kleine Firma ein Netzwerk aufbauen. Prinzipiell werden aktuell nicht viele Personen das Netzwerk benutzen ...

VB for Applications
Per vbscript xml Knoten an bestehenden Knoten anhängen
gelöst Frage von aletriVB for Applications1 Kommentar

Guten Tag Komme mit unten aufgeführtem Code nicht weiter, da ich nicht weiss wie man das Element "SeasonEntry" and ...

Netzwerke
Sip Infrastruktur
Frage von karlosssNetzwerke6 Kommentare

Hallo Also ich brauche hilfe bei der aufgabe das rote habe ich versucht zu lösen . den rest verstehe ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 6 StundenBatch & Shell7 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 8 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...