Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

PGP Infrastruktur in Firma aufbauen - Denk-Knoten im Kopf

Frage Sicherheit Verschlüsselung & Zertifikate

Mitglied: it-frosch

it-frosch (Level 2) - Jetzt verbinden

27.09.2013, aktualisiert 20:10 Uhr, 3865 Aufrufe, 14 Kommentare, 4 Danke

Guten Abend,

ich habe jetzt schon eine ganze Weile gesucht, da ich recht frisch in dem Thema bin aber wahrscheinlich mit den falschen Suchbegriffen.

Umgebung:
Windows 7 mit Exchange 2007

Aufgabenstellung:
Wir wollen mit Kunden verschlüsselte E-Mails austauschen, haben aber keine Möglichkeit dies mit dem Exchangeserver zu organisieren, da wir ihn nicht administrieren. Auch auf das AD haben wir nur beschränkten Zugriff. Gateway fällt ebenfalls aus, da kein Budget.
Statt dessen haben ich mir vorgestellt auf den E-Mail Clients (Outlook 2007) PGP4win zu installieren und einen Schlüsselserver im Firmennetzwerk aufzustellen der eine Verbindung zu einem externen Schlüsselserver hat, um den Schlüsselaustausch zu gewährleisten.

Soweit ist das erst einmal klar. Jetzt kommt mein Knoten im Kopf.
Wir bekommen von einem Kunden den öffentlichen Schlüssel für die zur Kommunikation zu verwendende E-Mail Adresse (info@kunden-domain.de). Den speichern wir auf dem internen Schlüsselserver.
Somit kann jeder Mitarbeiter eine E-Mail dieses Kunden entschlüsseln, die von info@kunden-domain.de kam.

Wie organisiere ich es jetzt, das bei mir im Unternehmen ebenfalls alle Mitarbeiter eine solche E-Mail Adresse nutzen können (info@unsere-domain.de)?

Zu dem an die E-Mail Adresse gebundenen privaten Schlüssel gehört ja noch ein Kennwort. Das möchte ich aber nicht jedem Mitarbeiter geben müssen, da ja Mitarbeiter auch mal die Firma verlassen.

Kann es sein, dass ich das mit der zentralen E-Mail Adresse des Kunden falsch verstanden habe oder wo liege ich hier daneben?

Ich wollte verhindern, dass jeder Mitarbeiter die E-Mails mit seinem eigenen public key verschlüsselt und wir dann Probleme haben auf alte E-Mails zuzugreifen, wenn ein Mitarbeiter das Unternehmen verlassen hat.

Für gedankliche Hilfeleistungen und Links zum Thema bin ich sehr dankbar.

grüße vom it-frosch
Mitglied: Rudbert
27.09.2013 um 21:06 Uhr
Hallo,


Der private schlüssel bleibt privat (beim user - durch kennwort gesichert). Der öffentliche schlüssel wird den leuten die mit dir sicher kommunizieren sollen bekannt gemacht.

Zum verschlüsseln einer nachricht an eine person benötige ich deren öffentlichen schlüssel - zum entschlüsseln benötigt diese person ihren privaten schlüssel.

So einfach ist pgp :D


Mit freundlichen Grüßen
Bitte warten ..
Mitglied: it-frosch
27.09.2013 um 21:20 Uhr
Hallo Rudbert,

So einfach ist pgp :D

Wahrscheinlich habe ich mich etwas unverständlich ausgedrückt.
Die Funktionsweise von PGP ist mir geläufig.

Es geht hier um den folgenden Fall. Ich möchte einen zentralen Schlüssel (verbunden mit einer Firmen E-Mail Adresse) nutzen, ohne dass ich jedem Mitarbeiter das Kennwort für den privaten Key des zentralen Schlüssels geben muss. Es soll nicht jeder MA einen eigenen privaten Schlüssel nutzen, da ja sonst der Kunde, der diesen MA eine verschlüsselte E-Mail senden will von allen MA die mit ihm kommunizieren könnten aus unserer Firma, die öffentlichen Schlüssel haben müsste.

Da ist kein Problem, das weiß ich, aber ich möchte das nicht unbedingt, da (wenn du oben genau gelesen hast) ich beim Weggang eines MA nicht immer dessen Passwort bekommen kann, mit dem seine E-Mails verschlüsselt sind.


grüße vom it-frosch
Bitte warten ..
Mitglied: aqui
27.09.2013, aktualisiert um 21:35 Uhr
Sieht aber nicht so aus als ob dir die Funktionsweise geläufig ist...
Wir bekommen von einem Kunden den öffentlichen Schlüssel für die zur Kommunikation zu verwendende E-Mail Adresse (info@kunden-domain.de). Den speichern wir auf dem internen Schlüsselserver.

Das ist soweit richtig !
Somit kann jeder Mitarbeiter eine E-Mail dieses Kunden entschlüsseln, die von info@kunden-domain.de kam.

Das ist natürlich Blödsinn, denn "entschlüsseln" kannst du diese Email niemals !
Entschlüsseln kann außschliesslich NUR der Empfänger also der Kunde (info@kunden-domain.de) diese Email, niemals aber du selber.
Das wäre Blödsinn und würde dem Prinzip von PGP diametral widersprechen.

Der Kunde (info@kunden-domain.de) verschüsselt sein Email an euch mit eurem öffentlichen Schlüssel ! Diese Email kannst du, und nur du dann wieder entschlüsseln.
So einfach ist PGP und genau DA hast du deinen Knoten im Kopf !!
Besser also nochmal genau nachlesen: http://de.wikipedia.org/wiki/Pretty_Good_Privacy bzw. http://www.gpg4win.de und auch hier: https://www.datenschutzzentrum.de/selbstdatenschutz/internet/pgp/anleitg ...
Bitte warten ..
Mitglied: it-frosch
27.09.2013, aktualisiert um 21:47 Uhr
Hallo aqui,

Entschlüsseln kann außschliesslich NUR der Empfänger also der Kunde (info@kunden-domain.de) diese Email, niemals aber du selber.
Das wäre Blödsinn und würde dem Prinzip von PGP diametral widersprechen.

Da hast du natürlich Recht.

Aber wahrscheinlich drücke ich mich immer noch etwas unverständlich aus.

Also noch einmal anders.

Der Kunde schickt mir eine E-Mail, die mit unserem öffentlichen Firmen Schlüssel verschlüsselt wurde zu. Beim Öffnen der E-Mail (Entschlüsseln) muss ich das zu unserem privaten Firmen Schlüssel gehörige Kennwort eingeben. D.h. jeder MA in unserer Firma müsste das Kennwort kennen, damit mit dieser E-Mail Adresse gearbeitet werden kann.

Vielleicht ist das ja gar nicht problematisch und ich sehe hierin nur ein Problem?

Besser zu verstehen, was ich meine?

grüße vom it-frosch
Bitte warten ..
Mitglied: aqui
27.09.2013 um 21:50 Uhr
Na ja das widerspricht ja ziemlich dem Sinn von PGP, das sowas wie Gruppen Emails nicht vorsieht. Konterkariert ja auch etwas das Prinzip.
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Bei Gruppenemails musst du in den sauren Apfle beissen das Passwort bekannt zu machen. Allerdings kannst du es auch dann gleich ans schwarze Brett der Firma pinnen. Damit ist es dann kompromittiert und eigentlich nutzlos !
Bitte warten ..
Mitglied: it-frosch
27.09.2013 um 22:06 Uhr
Hallo aqui,

Ok, dann denke ich mal das ich das falsch verstanden habe mit der firmenweit einheitlichen E-Mail PGP Adresse

Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können,
aber nicht die PGP E-Mails des Kunden an ihn wenn ich sein Kennwort nicht bekommen habe.

Wie kann man so etwas lösen?

Grüße vom it-frosch
Bitte warten ..
Mitglied: Dobby
28.09.2013, aktualisiert um 17:25 Uhr
Deleted because not related!
Gelöscht, da das Thema verfehlt wurde.
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2013, aktualisiert um 20:01 Uhr
Zitat von aqui:
Na ja das widerspricht ja ziemlich dem Sinn von PGP, das sowas wie Gruppen Emails nicht vorsieht. Konterkariert ja auch etwas das
Prinzip.
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Bei Gruppenemails musst du in den sauren Apfle beissen das Passwort bekannt zu machen. Allerdings kannst du es auch dann gleich
ans schwarze Brett der Firma pinnen. Damit ist es dann kompromittiert und eigentlich nutzlos !

Moin,

Die Alternative ist, daß man den privaten Schlüssel in einem Mailgateway der Firma hat und dort die Mails, die an die Gruppe gehen automatisch entschlüsselt und dann im Klartext an die betreffenden Mitarbeiter weiterleitet. So muß keiner dieser Mitarbeiter den privaten Schlüssel der Gruppenadresse bekommen. Man könnte natürlich auch alternativ statt im Klartext die Mail nach dem entschlüsseln an die Mitarbeiter jeweils mit deren persönlichen Schlüsseln verschlüsselt weiterleiten.

lks


Edit: Typo und style.
Bitte warten ..
Mitglied: it-frosch
28.09.2013, aktualisiert um 13:48 Uhr
Hallo Lochkartenstanzer,

dann kann ich das also nur mit einem Mailgateway lösen. Das hatte ich mittlerweile schon befürchtet.
Dann muss ich mich damit mal geschäftigen.

Danke für deine Antwort.

Grüße vom it-frosch
Bitte warten ..
Mitglied: it-frosch
28.09.2013, aktualisiert um 21:48 Uhr
Hallo D.o.b.b.y.,

schön, dass wir uns verstanden haben.

grüße vom it-frosch
Bitte warten ..
Mitglied: Lochkartenstanzer
28.09.2013, aktualisiert um 20:04 Uhr
Zitat von it-frosch:
dann kann ich das also nur mit einem Mailgateway lösen.

So wie Du es geschildert hast, ja.

Dann muss ich mich damit mal geschäftigen.

Insbesondere den unterschied signieren/unterschreiben und verschlüseln solltest Du Dir verdeutlichen:

  • Signieren erfolgt mit dem privaten Schlüssel des Unterzeichners,
  • verschlüsseln mit dem öffentlichen Schlüssel des Adressaten.

Danke für deine Antwort.

gern geschehen.

lks
Bitte warten ..
Mitglied: reksierp
30.09.2013 um 20:50 Uhr
"Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können, "
Das kannst Du niemals, denn die mit dem öffentlichen Schlüssel des Kunden verschlüsselten Mails können nur mit dem privaten Schlüssel des Kunden gelesen werden.
Vor Jahren bin ich auf das Problem gestoßen: ich hatte PGP-Verschlüsselte Mails versandt, die ich später nicht mehr lesen konnte. Abhilfe: VOR dem Verschlüsseln die Mail unverschlüsselt speichern. Dies ist aber dann kein Beweis mehr, das das Mail auch so versandt wurden, denn nach der Speicherung in Klarschrift kann das Mail ja vor der Verschlüsselung noch geändert werden.
Mein Vorschlag: von einem Bekannten, der die IT in einer großen Anwaltskanzlei macht (200 Anwälte, 600 MA), hörte ich im Rahmen einer Besichtigung seiner IT, das der Schlüsselserver (abgesehen von Hardware) nur 400 € Softwarekosten verursacht.
Auf Wunsch kann ich mich nochmal genau nach dem Produkt erkundigen.
Gruß reksierp
Bitte warten ..
Mitglied: Lochkartenstanzer
01.10.2013, aktualisiert um 08:37 Uhr
Zitat von reksierp:
"Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können, "
Das kannst Du niemals, denn die mit dem öffentlichen Schlüssel des Kunden verschlüsselten Mails können nur mit
dem privaten Schlüssel des Kunden gelesen werden.
Vor Jahren bin ich auf das Problem gestoßen: ich hatte PGP-Verschlüsselte Mails versandt, die ich später nicht
mehr lesen konnte. Abhilfe: VOR dem Verschlüsseln die Mail unverschlüsselt speichern. Dies ist aber dann kein Beweis
mehr, das das Mail auch so versandt wurden, denn nach der Speicherung in Klarschrift kann das Mail ja vor der Verschlüsselung
noch geändert werden.

Das ist ganz einfach: Man, d.h. der Mitarbeiter muß einfach jede mail per CC/BCC auch an eine firmeninterne Adresse schicken (wegen der Archivirungspflicht bestimmter Mails sogar sinnvoll). Dann wird diese CC/BCC üblicherweise mit dem frmenintenen Schlüssel verschlüsselt. Und da der Mitarbeiter pgp/gpg genutzt, kann er diese Mail auch signieren, so daß da auch sichergestellt ist, daß sie tatsächlich mal von ihm geschickt wurde.

lks

PS. Eventuell muß der Admin die Mailclients so vorkonfigurieren, daß der Mitarbeiter den CC/BCC nicht "vergißt".
Bitte warten ..
Mitglied: reksierp
01.10.2013 um 10:07 Uhr
Gute Idee! Manchmal sieht man den Wald vor Bäumen nicht ...
Leider zu spät: bin schon seit 2 Jahren Rentner ....
Damals bildete ich Fachinformatiker Systemintegration aus, und Verschlüsselung fand ich immer hochinteressant.
Literaturempfehlung:
Simon Singh
Geheime Botschaften
dtv wissen
»Top secret« - die spannende Geschichte der geheimen Codes, erzählt von Bestsellerautor Simon Singh
Euro 12,90 [D]
Spannend sich wie ein Krimi!
Gruß reksierp
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Netzwerkgrundlagen
VPN aufbauen (4)

Frage von bernd00 zum Thema Netzwerkgrundlagen ...

Off Topic
gelöst Kostenloser Support - Firma gesucht! (69)

Frage von runasservice zum Thema Off Topic ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Tipps & Tricks
Dokumentation privater Endgeräte in der Firma (9)

Frage von Maednix zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...