2
E-Mailverschlüsselung mit SMIME unter Verwendung einer eigenen internen Windows CA und SMIMEA. Macht es Sinn, das weiter zu verfolgen?
Moin Kollegen,
die Idee, einen sicheren bilateral verwendbaren Übertragungsweg für Nachrichten zu finden, ist nicht neu und es gibt viele Umsetzungen.
Meine erste Idee, die auch durchaus Bestand hatte, fußte auf OpenPGP-Zertifikaten, einem internen nicht synchronisierenden SKS-Server und WinGPG mit Outlook-Plugin.
Das Resultat endete in einem 80-seitigen Handbuch, das Einrichtung und Nutzung für Endnutzer erklärt.
Also nicht so schön, aber die Idee, unabhängig von externen CAs zu sein, erscheint mir immer noch haltbar.
Deswegen denke ich über eine Herangehensweise mit S/MIME-Zertifikaten nach, die
Nach meinem Verständnis müsste dies eine gesicherte Nachrichtenübertragung in beide Richtungen ermöglichen und die Zertifikate unserer Benutzer als vertrauenswürdig einstufen,
da sie mittels SMIMEA geprüft werden können.
Reichen also die obigen drei Punkte aus, um das zu bewerkstelligen oder bedarf es noch weiterer Überlegungen?
Freundliche Grüße
bdmvg
die Idee, einen sicheren bilateral verwendbaren Übertragungsweg für Nachrichten zu finden, ist nicht neu und es gibt viele Umsetzungen.
Meine erste Idee, die auch durchaus Bestand hatte, fußte auf OpenPGP-Zertifikaten, einem internen nicht synchronisierenden SKS-Server und WinGPG mit Outlook-Plugin.
Das Resultat endete in einem 80-seitigen Handbuch, das Einrichtung und Nutzung für Endnutzer erklärt.
Also nicht so schön, aber die Idee, unabhängig von externen CAs zu sein, erscheint mir immer noch haltbar.
Deswegen denke ich über eine Herangehensweise mit S/MIME-Zertifikaten nach, die
- automatisch über unsere interne Windows-CA ausgestellt werden,
- übers AD an die Nutzer verteilt und in Outlook eingerichtet werden,
- und die öffentlichen Schlüssel der Nutzer in Form von SMIMEA-Records in unserer DNS-Zone veröffentlicht werden.
Nach meinem Verständnis müsste dies eine gesicherte Nachrichtenübertragung in beide Richtungen ermöglichen und die Zertifikate unserer Benutzer als vertrauenswürdig einstufen,
da sie mittels SMIMEA geprüft werden können.
Reichen also die obigen drei Punkte aus, um das zu bewerkstelligen oder bedarf es noch weiterer Überlegungen?
Freundliche Grüße
bdmvg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 582328
Url: https://administrator.de/contentid/582328
Printed on: April 19, 2024 at 20:04 o'clock
2 Comments
Latest comment
Leider wollen die Jungs hier einen extra RR-Type für die Public-Keys im DNS System , deswegen gebe ich dem ganzen so nicht viel Chancen sich durchzusetzen. Wenn sie das ganze über einen TXT-Record abfackeln würden, was ja problemlos darüber machbar wäre, würde ich dem ganzen schon mehr Zukunftsaussichten zutrauen.
Eine Hinzufügen eines zusätzlichen RR-Types im DNS ist eben nicht so leicht überall durchzusetzen, als vorhandene TXT Records dafür zu nutzen. Vielleicht ändert sich das ja, mal abwarten und Tee trinken.
Eine Hinzufügen eines zusätzlichen RR-Types im DNS ist eben nicht so leicht überall durchzusetzen, als vorhandene TXT Records dafür zu nutzen. Vielleicht ändert sich das ja, mal abwarten und Tee trinken.
Zitat von @144705:
Vielleicht ändert sich das ja, mal abwarten und Tee trinken.
Vielleicht ändert sich das ja, mal abwarten und Tee trinken.
Ist wohl nötig. Die RFC steht seit 2017 auf "experimental".
https://tools.ietf.org/html/rfc8162
