14
PGP Infrastruktur in Firma aufbauen - Denk-Knoten im Kopf
Guten Abend,
ich habe jetzt schon eine ganze Weile gesucht, da ich recht frisch in dem Thema bin aber wahrscheinlich mit den falschen Suchbegriffen.
Umgebung:
Windows 7 mit Exchange 2007
Aufgabenstellung:
Wir wollen mit Kunden verschlüsselte E-Mails austauschen, haben aber keine Möglichkeit dies mit dem Exchangeserver zu organisieren, da wir ihn nicht administrieren. Auch auf das AD haben wir nur beschränkten Zugriff. Gateway fällt ebenfalls aus, da kein Budget.
Statt dessen haben ich mir vorgestellt auf den E-Mail Clients (Outlook 2007) PGP4win zu installieren und einen Schlüsselserver im Firmennetzwerk aufzustellen der eine Verbindung zu einem externen Schlüsselserver hat, um den Schlüsselaustausch zu gewährleisten.
Soweit ist das erst einmal klar. Jetzt kommt mein Knoten im Kopf.
Wir bekommen von einem Kunden den öffentlichen Schlüssel für die zur Kommunikation zu verwendende E-Mail Adresse (info@kunden-domain.de). Den speichern wir auf dem internen Schlüsselserver.
Somit kann jeder Mitarbeiter eine E-Mail dieses Kunden entschlüsseln, die von info@kunden-domain.de kam.
Wie organisiere ich es jetzt, das bei mir im Unternehmen ebenfalls alle Mitarbeiter eine solche E-Mail Adresse nutzen können (info@unsere-domain.de)?
Zu dem an die E-Mail Adresse gebundenen privaten Schlüssel gehört ja noch ein Kennwort. Das möchte ich aber nicht jedem Mitarbeiter geben müssen, da ja Mitarbeiter auch mal die Firma verlassen.
Kann es sein, dass ich das mit der zentralen E-Mail Adresse des Kunden falsch verstanden habe oder wo liege ich hier daneben?
Ich wollte verhindern, dass jeder Mitarbeiter die E-Mails mit seinem eigenen public key verschlüsselt und wir dann Probleme haben auf alte E-Mails zuzugreifen, wenn ein Mitarbeiter das Unternehmen verlassen hat.
Für gedankliche Hilfeleistungen und Links zum Thema bin ich sehr dankbar.
grüße vom it-frosch
ich habe jetzt schon eine ganze Weile gesucht, da ich recht frisch in dem Thema bin aber wahrscheinlich mit den falschen Suchbegriffen.
Umgebung:
Windows 7 mit Exchange 2007
Aufgabenstellung:
Wir wollen mit Kunden verschlüsselte E-Mails austauschen, haben aber keine Möglichkeit dies mit dem Exchangeserver zu organisieren, da wir ihn nicht administrieren. Auch auf das AD haben wir nur beschränkten Zugriff. Gateway fällt ebenfalls aus, da kein Budget.
Statt dessen haben ich mir vorgestellt auf den E-Mail Clients (Outlook 2007) PGP4win zu installieren und einen Schlüsselserver im Firmennetzwerk aufzustellen der eine Verbindung zu einem externen Schlüsselserver hat, um den Schlüsselaustausch zu gewährleisten.
Soweit ist das erst einmal klar. Jetzt kommt mein Knoten im Kopf.
Wir bekommen von einem Kunden den öffentlichen Schlüssel für die zur Kommunikation zu verwendende E-Mail Adresse (info@kunden-domain.de). Den speichern wir auf dem internen Schlüsselserver.
Somit kann jeder Mitarbeiter eine E-Mail dieses Kunden entschlüsseln, die von info@kunden-domain.de kam.
Wie organisiere ich es jetzt, das bei mir im Unternehmen ebenfalls alle Mitarbeiter eine solche E-Mail Adresse nutzen können (info@unsere-domain.de)?
Zu dem an die E-Mail Adresse gebundenen privaten Schlüssel gehört ja noch ein Kennwort. Das möchte ich aber nicht jedem Mitarbeiter geben müssen, da ja Mitarbeiter auch mal die Firma verlassen.
Kann es sein, dass ich das mit der zentralen E-Mail Adresse des Kunden falsch verstanden habe oder wo liege ich hier daneben?
Ich wollte verhindern, dass jeder Mitarbeiter die E-Mails mit seinem eigenen public key verschlüsselt und wir dann Probleme haben auf alte E-Mails zuzugreifen, wenn ein Mitarbeiter das Unternehmen verlassen hat.
Für gedankliche Hilfeleistungen und Links zum Thema bin ich sehr dankbar.
grüße vom it-frosch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 218055
Url: https://administrator.de/contentid/218055
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
Der private schlüssel bleibt privat (beim user - durch kennwort gesichert). Der öffentliche schlüssel wird den leuten die mit dir sicher kommunizieren sollen bekannt gemacht.
Zum verschlüsseln einer nachricht an eine person benötige ich deren öffentlichen schlüssel - zum entschlüsseln benötigt diese person ihren privaten schlüssel.
So einfach ist pgp :D
Mfg
Der private schlüssel bleibt privat (beim user - durch kennwort gesichert). Der öffentliche schlüssel wird den leuten die mit dir sicher kommunizieren sollen bekannt gemacht.
Zum verschlüsseln einer nachricht an eine person benötige ich deren öffentlichen schlüssel - zum entschlüsseln benötigt diese person ihren privaten schlüssel.
So einfach ist pgp :D
Mfg
Hallo Rudbert,
Wahrscheinlich habe ich mich etwas unverständlich ausgedrückt.
Die Funktionsweise von PGP ist mir geläufig.
Es geht hier um den folgenden Fall. Ich möchte einen zentralen Schlüssel (verbunden mit einer Firmen E-Mail Adresse) nutzen, ohne dass ich jedem Mitarbeiter das Kennwort für den privaten Key des zentralen Schlüssels geben muss. Es soll nicht jeder MA einen eigenen privaten Schlüssel nutzen, da ja sonst der Kunde, der diesen MA eine verschlüsselte E-Mail senden will von allen MA die mit ihm kommunizieren könnten aus unserer Firma, die öffentlichen Schlüssel haben müsste.
Da ist kein Problem, das weiß ich, aber ich möchte das nicht unbedingt, da (wenn du oben genau gelesen hast) ich beim Weggang eines MA nicht immer dessen Passwort bekommen kann, mit dem seine E-Mails verschlüsselt sind.
grüße vom it-frosch
So einfach ist pgp :D
Wahrscheinlich habe ich mich etwas unverständlich ausgedrückt.
Die Funktionsweise von PGP ist mir geläufig.
Es geht hier um den folgenden Fall. Ich möchte einen zentralen Schlüssel (verbunden mit einer Firmen E-Mail Adresse) nutzen, ohne dass ich jedem Mitarbeiter das Kennwort für den privaten Key des zentralen Schlüssels geben muss. Es soll nicht jeder MA einen eigenen privaten Schlüssel nutzen, da ja sonst der Kunde, der diesen MA eine verschlüsselte E-Mail senden will von allen MA die mit ihm kommunizieren könnten aus unserer Firma, die öffentlichen Schlüssel haben müsste.
Da ist kein Problem, das weiß ich, aber ich möchte das nicht unbedingt, da (wenn du oben genau gelesen hast) ich beim Weggang eines MA nicht immer dessen Passwort bekommen kann, mit dem seine E-Mails verschlüsselt sind.
grüße vom it-frosch
Sieht aber nicht so aus als ob dir die Funktionsweise geläufig ist...
Wir bekommen von einem Kunden den öffentlichen Schlüssel für die zur Kommunikation zu verwendende E-Mail Adresse (info@kunden-domain.de). Den speichern wir auf dem internen Schlüsselserver.
Das ist soweit richtig !
Somit kann jeder Mitarbeiter eine E-Mail dieses Kunden entschlüsseln, die von info@kunden-domain.de kam.
Das ist natürlich Blödsinn, denn "entschlüsseln" kannst du diese Email niemals !
Entschlüsseln kann außschliesslich NUR der Empfänger also der Kunde (info@kunden-domain.de) diese Email, niemals aber du selber.
Das wäre Blödsinn und würde dem Prinzip von PGP diametral widersprechen.
Der Kunde (info@kunden-domain.de) verschüsselt sein Email an euch mit eurem öffentlichen Schlüssel ! Diese Email kannst du, und nur du dann wieder entschlüsseln.
So einfach ist PGP und genau DA hast du deinen Knoten im Kopf !!
Besser also nochmal genau nachlesen: http://de.wikipedia.org/wiki/Pretty_Good_Privacy bzw. http://www.gpg4win.de und auch hier: https://www.datenschutzzentrum.de/selbstdatenschutz/internet/pgp/anleitg ...
Wir bekommen von einem Kunden den öffentlichen Schlüssel für die zur Kommunikation zu verwendende E-Mail Adresse (info@kunden-domain.de). Den speichern wir auf dem internen Schlüsselserver.
Das ist soweit richtig !
Somit kann jeder Mitarbeiter eine E-Mail dieses Kunden entschlüsseln, die von info@kunden-domain.de kam.
Das ist natürlich Blödsinn, denn "entschlüsseln" kannst du diese Email niemals !
Entschlüsseln kann außschliesslich NUR der Empfänger also der Kunde (info@kunden-domain.de) diese Email, niemals aber du selber.
Das wäre Blödsinn und würde dem Prinzip von PGP diametral widersprechen.
Der Kunde (info@kunden-domain.de) verschüsselt sein Email an euch mit eurem öffentlichen Schlüssel ! Diese Email kannst du, und nur du dann wieder entschlüsseln.
So einfach ist PGP und genau DA hast du deinen Knoten im Kopf !!
Besser also nochmal genau nachlesen: http://de.wikipedia.org/wiki/Pretty_Good_Privacy bzw. http://www.gpg4win.de und auch hier: https://www.datenschutzzentrum.de/selbstdatenschutz/internet/pgp/anleitg ...
2
Hallo aqui,
Da hast du natürlich Recht.
Aber wahrscheinlich drücke ich mich immer noch etwas unverständlich aus.
Also noch einmal anders.
Der Kunde schickt mir eine E-Mail, die mit unserem öffentlichen Firmen Schlüssel verschlüsselt wurde zu. Beim Öffnen der E-Mail (Entschlüsseln) muss ich das zu unserem privaten Firmen Schlüssel gehörige Kennwort eingeben. D.h. jeder MA in unserer Firma müsste das Kennwort kennen, damit mit dieser E-Mail Adresse gearbeitet werden kann.
Vielleicht ist das ja gar nicht problematisch und ich sehe hierin nur ein Problem?
Besser zu verstehen, was ich meine?
grüße vom it-frosch
Entschlüsseln kann außschliesslich NUR der Empfänger also der Kunde (info@kunden-domain.de) diese Email, niemals aber du selber.
Das wäre Blödsinn und würde dem Prinzip von PGP diametral widersprechen.
Das wäre Blödsinn und würde dem Prinzip von PGP diametral widersprechen.
Da hast du natürlich Recht.
Aber wahrscheinlich drücke ich mich immer noch etwas unverständlich aus.
Also noch einmal anders.
Der Kunde schickt mir eine E-Mail, die mit unserem öffentlichen Firmen Schlüssel verschlüsselt wurde zu. Beim Öffnen der E-Mail (Entschlüsseln) muss ich das zu unserem privaten Firmen Schlüssel gehörige Kennwort eingeben. D.h. jeder MA in unserer Firma müsste das Kennwort kennen, damit mit dieser E-Mail Adresse gearbeitet werden kann.
Vielleicht ist das ja gar nicht problematisch und ich sehe hierin nur ein Problem?
Besser zu verstehen, was ich meine?
grüße vom it-frosch
Na ja das widerspricht ja ziemlich dem Sinn von PGP, das sowas wie Gruppen Emails nicht vorsieht. Konterkariert ja auch etwas das Prinzip.
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Bei Gruppenemails musst du in den sauren Apfle beissen das Passwort bekannt zu machen. Allerdings kannst du es auch dann gleich ans schwarze Brett der Firma pinnen. Damit ist es dann kompromittiert und eigentlich nutzlos !
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Bei Gruppenemails musst du in den sauren Apfle beissen das Passwort bekannt zu machen. Allerdings kannst du es auch dann gleich ans schwarze Brett der Firma pinnen. Damit ist es dann kompromittiert und eigentlich nutzlos !
2
Hallo aqui,
Ok, dann denke ich mal das ich das falsch verstanden habe mit der firmenweit einheitlichen E-Mail PGP Adresse
aber nicht die PGP E-Mails des Kunden an ihn wenn ich sein Kennwort nicht bekommen habe.
Wie kann man so etwas lösen?
Grüße vom it-frosch
Ok, dann denke ich mal das ich das falsch verstanden habe mit der firmenweit einheitlichen E-Mail PGP Adresse
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können,aber nicht die PGP E-Mails des Kunden an ihn wenn ich sein Kennwort nicht bekommen habe.
Wie kann man so etwas lösen?
Grüße vom it-frosch
Deleted because not related!
Gelöscht, da das Thema verfehlt wurde.
Gelöscht, da das Thema verfehlt wurde.
2
Zitat von @aqui:
Na ja das widerspricht ja ziemlich dem Sinn von PGP, das sowas wie Gruppen Emails nicht vorsieht. Konterkariert ja auch etwas das
Prinzip.
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Bei Gruppenemails musst du in den sauren Apfle beissen das Passwort bekannt zu machen. Allerdings kannst du es auch dann gleich
ans schwarze Brett der Firma pinnen. Damit ist es dann kompromittiert und eigentlich nutzlos !
Na ja das widerspricht ja ziemlich dem Sinn von PGP, das sowas wie Gruppen Emails nicht vorsieht. Konterkariert ja auch etwas das
Prinzip.
Jeder Mitarbeiter sollte eine Email mit eigenem Schlüssel haben.
Bei Gruppenemails musst du in den sauren Apfle beissen das Passwort bekannt zu machen. Allerdings kannst du es auch dann gleich
ans schwarze Brett der Firma pinnen. Damit ist es dann kompromittiert und eigentlich nutzlos !
Moin,
Die Alternative ist, daß man den privaten Schlüssel in einem Mailgateway der Firma hat und dort die Mails, die an die Gruppe gehen automatisch entschlüsselt und dann im Klartext an die betreffenden Mitarbeiter weiterleitet. So muß keiner dieser Mitarbeiter den privaten Schlüssel der Gruppenadresse bekommen. Man könnte natürlich auch alternativ statt im Klartext die Mail nach dem entschlüsseln an die Mitarbeiter jeweils mit deren persönlichen Schlüsseln verschlüsselt weiterleiten.
lks
Edit: Typo und style.
2
Hallo Lochkartenstanzer,
dann kann ich das also nur mit einem Mailgateway lösen. Das hatte ich mittlerweile schon befürchtet.
Dann muss ich mich damit mal geschäftigen.
Danke für deine Antwort.
Grüße vom it-frosch
dann kann ich das also nur mit einem Mailgateway lösen. Das hatte ich mittlerweile schon befürchtet.
Dann muss ich mich damit mal geschäftigen.
Danke für deine Antwort.
Grüße vom it-frosch
Hallo D.o.b.b.y.,
schön, dass wir uns verstanden haben.
grüße vom it-frosch
schön, dass wir uns verstanden haben.
grüße vom it-frosch
1So wie Du es geschildert hast, ja.
Dann muss ich mich damit mal geschäftigen.
Insbesondere den unterschied signieren/unterschreiben und verschlüseln solltest Du Dir verdeutlichen:
- Signieren erfolgt mit dem privaten Schlüssel des Unterzeichners,
- verschlüsseln mit dem öffentlichen Schlüssel des Adressaten.
Danke für deine Antwort.
gern geschehen.
lks
1
"Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können, "
Das kannst Du niemals, denn die mit dem öffentlichen Schlüssel des Kunden verschlüsselten Mails können nur mit dem privaten Schlüssel des Kunden gelesen werden.
Vor Jahren bin ich auf das Problem gestoßen: ich hatte PGP-Verschlüsselte Mails versandt, die ich später nicht mehr lesen konnte. Abhilfe: VOR dem Verschlüsseln die Mail unverschlüsselt speichern. Dies ist aber dann kein Beweis mehr, das das Mail auch so versandt wurden, denn nach der Speicherung in Klarschrift kann das Mail ja vor der Verschlüsselung noch geändert werden.
Mein Vorschlag: von einem Bekannten, der die IT in einer großen Anwaltskanzlei macht (200 Anwälte, 600 MA), hörte ich im Rahmen einer Besichtigung seiner IT, das der Schlüsselserver (abgesehen von Hardware) nur 400 € Softwarekosten verursacht.
Auf Wunsch kann ich mich nochmal genau nach dem Produkt erkundigen.
Gruß reksierp
Das kannst Du niemals, denn die mit dem öffentlichen Schlüssel des Kunden verschlüsselten Mails können nur mit dem privaten Schlüssel des Kunden gelesen werden.
Vor Jahren bin ich auf das Problem gestoßen: ich hatte PGP-Verschlüsselte Mails versandt, die ich später nicht mehr lesen konnte. Abhilfe: VOR dem Verschlüsseln die Mail unverschlüsselt speichern. Dies ist aber dann kein Beweis mehr, das das Mail auch so versandt wurden, denn nach der Speicherung in Klarschrift kann das Mail ja vor der Verschlüsselung noch geändert werden.
Mein Vorschlag: von einem Bekannten, der die IT in einer großen Anwaltskanzlei macht (200 Anwälte, 600 MA), hörte ich im Rahmen einer Besichtigung seiner IT, das der Schlüsselserver (abgesehen von Hardware) nur 400 € Softwarekosten verursacht.
Auf Wunsch kann ich mich nochmal genau nach dem Produkt erkundigen.
Gruß reksierp
Zitat von @reksierp:
"Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können, "
Das kannst Du niemals, denn die mit dem öffentlichen Schlüssel des Kunden verschlüsselten Mails können nur mit
dem privaten Schlüssel des Kunden gelesen werden.
Vor Jahren bin ich auf das Problem gestoßen: ich hatte PGP-Verschlüsselte Mails versandt, die ich später nicht
mehr lesen konnte. Abhilfe: VOR dem Verschlüsseln die Mail unverschlüsselt speichern. Dies ist aber dann kein Beweis
mehr, das das Mail auch so versandt wurden, denn nach der Speicherung in Klarschrift kann das Mail ja vor der Verschlüsselung
noch geändert werden.
"Wenn der MA das Unternehmen nun verlässt sollte ich seine an Kunden verschickten PGP E-Mails lesen können, "
Das kannst Du niemals, denn die mit dem öffentlichen Schlüssel des Kunden verschlüsselten Mails können nur mit
dem privaten Schlüssel des Kunden gelesen werden.
Vor Jahren bin ich auf das Problem gestoßen: ich hatte PGP-Verschlüsselte Mails versandt, die ich später nicht
mehr lesen konnte. Abhilfe: VOR dem Verschlüsseln die Mail unverschlüsselt speichern. Dies ist aber dann kein Beweis
mehr, das das Mail auch so versandt wurden, denn nach der Speicherung in Klarschrift kann das Mail ja vor der Verschlüsselung
noch geändert werden.
Das ist ganz einfach: Man, d.h. der Mitarbeiter muß einfach jede mail per CC/BCC auch an eine firmeninterne Adresse schicken (wegen der Archivirungspflicht bestimmter Mails sogar sinnvoll). Dann wird diese CC/BCC üblicherweise mit dem frmenintenen Schlüssel verschlüsselt. Und da der Mitarbeiter pgp/gpg genutzt, kann er diese Mail auch signieren, so daß da auch sichergestellt ist, daß sie tatsächlich mal von ihm geschickt wurde.
lks
PS. Eventuell muß der Admin die Mailclients so vorkonfigurieren, daß der Mitarbeiter den CC/BCC nicht "vergißt".
Gute Idee! Manchmal sieht man den Wald vor Bäumen nicht ...
Leider zu spät: bin schon seit 2 Jahren Rentner ....
Damals bildete ich Fachinformatiker Systemintegration aus, und Verschlüsselung fand ich immer hochinteressant.
Literaturempfehlung:
Simon Singh
Geheime Botschaften
dtv wissen
»Top secret« - die spannende Geschichte der geheimen Codes, erzählt von Bestsellerautor Simon Singh
Euro 12,90 [D]
Spannend sich wie ein Krimi!
Gruß reksierp
Leider zu spät: bin schon seit 2 Jahren Rentner ....
Damals bildete ich Fachinformatiker Systemintegration aus, und Verschlüsselung fand ich immer hochinteressant.
Literaturempfehlung:
Simon Singh
Geheime Botschaften
dtv wissen
»Top secret« - die spannende Geschichte der geheimen Codes, erzählt von Bestsellerautor Simon Singh
Euro 12,90 [D]
Spannend sich wie ein Krimi!
Gruß reksierp
