Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verständnis TLS sowie SMINE

Mitglied: Gregor81

Gregor81 (Level 1) - Jetzt verbinden

16.05.2018 um 09:25 Uhr, 886 Aufrufe, 14 Kommentare, 3 Danke

Hallo zusammen,

wir überlegen das wir unsere Emails per S/MINE verschlüsseln da wir oft personenbezogene Daten per Mail verschicken sowie empfangen.

Jetzt hat ein Systemhaus mir mitgeteilt das man S/MINE gar nicht braucht weil TLS 1.2 auch schon ausreicht, stimmt das so? Ich habe gedacht das bei TLS nur der weg verschlüsselt wird, jedoch nicht selbst die Email.

Ich will mich hier auf jeden Fall absichern, muss es nicht unbedingt haben das ich mal irgendwann ein Brief vom Anwalt bekomme weil wir personenbezogene Daten "unverschlüsselt" verschicken.

Vielen Dank für eure Hilfe.



Mitglied: Kraemer
16.05.2018 um 09:28 Uhr
Moin,

entweder war der Kerl besoffen, oder ihr solltet euch ein neues Systemhaus suchen.

Gruß
Bitte warten ..
Mitglied: Voiper
16.05.2018 um 09:34 Uhr
Ich glaube was Kraemer sagen wollte, war dass du durchaus recht hast und TLS nur die Kommunikation der Gegenstellen verschlüsselt. Die Mail bleibt weiterhin im Klartext erhalten. PGP und S/MIME sind da sinnvolle Ergänzungen.

Gruß, V
Bitte warten ..
Mitglied: LordGurke
16.05.2018, aktualisiert um 12:21 Uhr
Beide Angriffe funktionieren aber nur, wenn der Mailclient nicht nur automatisch entschlüsselt sondern auch noch ungefragt externe Ressourcen aus E-Mails nachlädt.
Letzteres ist seit spätestens den letzten 15 Jahren in allen mir bekannten Mailclients standardmäßig abgeschaltet.
Wer das demnach absichtlich wieder einschaltet hat es nicht besser verdient.

Bei Kryptografie gilt zudem sowieso, dass das beste System nichts taugt, wenn nicht alle beteiligten mit Sinn und Verstand arbeiten...
Bitte warten ..
Mitglied: ukulele-7
16.05.2018 um 12:27 Uhr
Also TLS kannst du natürlich machen und wenn z.B. dein E-Mail Server die Mail direkt dem Mail Server des Empfängers zustellt wäre die Übermittlung auch sicher. Da du aber i.d.R. die E-Mail an einen Mailserver deines Anbieters weiter reichst und den Empfänger Mailserver gar nicht kennst kannst du nicht mit Sicherheit sagen wo diese Email wie übermittelt wird.

Was SMIME angeht so fand ich den Artikel auf Golem doch irgendwie besser:
https://www.golem.de/news/pgp-smime-angreifer-koennen-sich-entschluessel ...
Grundsätzlich bin ich skeptisch von SMIME abzuraten ohne eine ernstzunehmende Alternative anbieten zu können. Die Antwort kann nur sein einen sicheren Mailclient einzusetzen und auf eine Verbesserung des Standards oder einen besseren Standard zu warten aber eben nicht einfach zu verzichten.
Bitte warten ..
Mitglied: Kraemer
16.05.2018 um 12:32 Uhr
Zitat von ukulele-7:
Die Antwort kann nur sein einen sicheren Mailclient einzusetzen und auf eine Verbesserung des Standards oder einen besseren Standard zu warten aber eben nicht einfach zu verzichten.
Dazu passend - vor allem weil hier schon heise verlinkt wurde - ein weiterer heise-Link: https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...
Bitte warten ..
Mitglied: ukulele-7
16.05.2018 um 12:38 Uhr
Und sie haben Signal empfohlen (was man ja jetzt nicht mal einfach so als E-Mail Ersatz einführt) und genau das hat gestern auch eine Sicherheitslücke gestopft. Ich kann nicht verstehen wie ein Forscher zu solchen Sicherheitslücken seriös keine Verschlüsselung als besser bezeichnen kann.
Bitte warten ..
Mitglied: java667
16.05.2018 um 12:59 Uhr
Zitat von ukulele-7:

Grundsätzlich bin ich skeptisch von SMIME abzuraten ohne eine ernstzunehmende Alternative anbieten zu können.

Da stimme ich zu und finde es persönlich höchst fahrlässig und auch unqualifiziert. Das ist wie den Airbag zu deaktivieren, weil er in manchen Fällen nicht richtig funktioniert. Ja, wenn das so ist, dann schalte ich das Ding eben ganz ab...

Hinzu kommt, dass es mittlerweile genug Gateways auf dem Markt gibt, die das ver- und entschlüsseln für den Client zentral übernehmen. Aber jetzt kommen sicher die Spezialisten und sagen: "Dann ist es aber keine echte Ende-zu-Ende Verschlüsselung mehr!"...moment ich such fix meinen Aluhut.
Bitte warten ..
Mitglied: emeriks
16.05.2018, aktualisiert um 14:24 Uhr
Hi,
moment ich such fix meinen Aluhut.
Das hat damit eigentlich überhaupt nichts zu tun, aber auch rein gar nichts!
Wer nur eine Sekunde länger nachdenkt, kommt sicher auch zu dem Schluss, dass es beim Verschlüsseln von Mails primär darauf ankommt, dass nur der vorgesehene Empfänger, bzw. derjenige, welcher den Schlüssel hat, die Mail lesen kann. Dazu gehören dann auch solche Szenarien, wenn Stellvertreter oder Einbrecher auf ein Postfach zugreifen und dann eben nicht in der Lage sein sollen, für den Postfachinhaber verschlüsselte Mails lesen zu können, es sei denn, sie haben den Schlüssel. Die Transportverschlüsselung leistet genau das aber nicht. Sie kann maximal sicherstellen, dass die Mail unverfälscht ankommt bzw. dass Dritte gar nicht mitbekommen, dass eine Mail an einen bestimmten Empfänger unterwegs ist. Insofern ist die Gegenüberstellung von TLS und S/MIME vollkommen fehl am Platz. Das Postfach ist das Bankschließfach. TLS ist der gepanzerte Transporter. Und S/MIME ist der verschlüsselte Brief, welcher im Bankschließfach abgeliefert und gelagert wird.

E.
Bitte warten ..
Mitglied: java667
16.05.2018 um 14:52 Uhr
Zitat von emeriks:

Das hat damit eigentlich überhaupt nichts zu tun, aber auch rein gar nichts!
Wer nur eine Sekunde länger nachdenkt...

Bitte vielleicht meinen Post für ein bis zwei Sekunden länger lesen...

Die Transportverschlüsselung leistet genau das aber nicht.

Ich denke du hast meine Aussage missverstanden. Es ging in meinem Post nicht um dieTransportverschlüsselung, sondern um ein Verschlüsselungs-Gateway welches die ver- und entschlüsselung via S/MIME oder PGP für den Client übernimmt (z.B. NoSpamProxy). Und da das ganze eben nicht im Mailclient vorgenommen wird, haben wir zum einen keine "echte" Ende-zu-Ende Verschlüsselung und zum anderen trifft efail in so einem Fall nicht zu.

Also mein Aluhut ging an die Personen, welches das oben beschriebene nicht als "echte" Ende-zu-Ende Verschlüsselung bezeichnen. Kann aber jeder halten wie er möchte... Fakt ist aber, nicht zu verschlüsseln ist wohl keine Alternative

Gruss,
Java
Bitte warten ..
Mitglied: Voiper
16.05.2018 um 15:24 Uhr
Zitat von java667:
Also mein Aluhut ging an die Personen, welches das oben beschriebene nicht als "echte" Ende-zu-Ende Verschlüsselung bezeichnen.

Hier liegt der Hase begraben...Niemand hat das behauptet ;)
Bitte warten ..
Mitglied: emeriks
16.05.2018, aktualisiert um 15:30 Uhr
Na dann denke ich, dass ich Dich richtig verstanden hatte.
Das mit dem "Aluhut" ist m.E. eine Verharmlosung eines ernsten Themas. Der TO schreibt von personenbezogenen Daten!
Diese Verschlüsselung über solche Gateways kenne ich. Allerdings auch nur als Sender-Gateway. Denn auch hier findet doch die Entschlüsselung erst beim Empfänger (Mailclient) statt? Wenn es da auch Empfänger-Gateways gibt, welche die Mails entschlüsseln und dann intern unverschlüsselt weiterleiten, dann ist das m.E. eine Verarschung des Senders, wenn dieser nicht explizit darüber in Kenntnis gesetzt wird, dass die Mail unverschlüsselt beim Empfänger ankommt.
Bitte warten ..
Mitglied: ukulele-7
18.05.2018 um 09:49 Uhr
Bei SMIME per Gateway ist das durchaus so das das Gateway die Entschlüsselung übernimmt. Bei uns ist das auch so gewollt denn SMIME soll tatsächlich nur den Transport absichern und nicht wie bei TLS bis zum Mailserver sondern darüber hinaus bis zum Netzwerk des Empfängers. Das geht halt mit TLS nicht wenn dazwischen "unbekannte" Server liegen.

Natürlich ist die E-Mail dann im Sende und im Empfänger Netz unverschlüsselt. Diesen kann man aber vielleicht mehr vertrauen. Wenn der Empfänger seinem Mail Admin nicht traut oder den Inhalt in seinem Archiv verschlüsselt liegen haben will würde ich eher zur PDF greifen. Wir möchten es aber definitiv unverschlüsselt auf dem Mailserver haben. Der Zugriff auf Fremede Postfächer ist dabei natürlich klar geregelt.

Ich würde aber nicht sagen das das aktuelle Angriffsszenario hier nicht greift. Das Gateway kann ja den Inhalt entschlüsseln und der Mailclient hat dann den entschlüsselten Inhalt, eingebettet in einen Link und kann diesen immernoch weiter leiten. Ich würde also nicht sagen das ein Gateway hier die Sicherheit erhöht.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
OpenVPN TLS
Frage von 121851Netzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Linux
Postfix TLS einrichten
Frage von EmheonivekLinux1 Kommentar

Ich bin neu im Thema SSL-Zertifikate und versuche die Situation zu erläutern. Ich habe vor einiger Zeit ein Wildcard ...

Windows Server

Aktivierung TLS - GPO - Webseite greift nicht auf TLS zurück

Frage von Martin89Windows Server1 Kommentar

Hallo, ich bin etwas ratlos. Folgendes Problem: Unsere Finanzbuchhaltung greift per IE auf die Seite von ElsterOnline zu. Insofern ...

Verschlüsselung & Zertifikate

SSL-TLS-Zertifikate erwerben

gelöst Frage von ITHG13Verschlüsselung & Zertifikate4 Kommentare

Hallo Leute, ich mache mir zur Zeit Gedanken über den Erwerb von SSL/TLS-Zertifikaten bei z.B. GeoTrust. Speziell geht es ...

Neue Wissensbeiträge
Windows Mobile

Support für Windows Mobile endet im Dezember 2019

Information von transocean vor 1 TagWindows Mobile

Moin, Microsoft empfiehlt als Alternative den Umstieg auf iOS oder Android, wie man hier lesen kann. Gruß Uwe

Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 2 TagenInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 3 TagenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Bekannte Drosselungen bei Providern ?
Frage von HenereLAN, WAN, Wireless11 Kommentare

Servus zusammen, in bereits angefangen, aber ich hoffe dass der Beitrag hier mehr Informationen bringt. Sind Portdrosselungen bzw gezielte ...

LAN, WAN, Wireless
Temporäre WLAN Verbindung für AD-Login
Frage von Christian.WidauerLAN, WAN, Wireless10 Kommentare

Hallo zusammen, ich weiß leider nicht unter welchem Begriff ich dafür suchen muss, daher habe ich bisher leider nichts ...

DNS
SFTP über DynDNS nicht OK - über ext. IP funktioniert es
gelöst Frage von C.MorgensternDNS10 Kommentare

Hallo zusammen! Ich habe Probleme beim SFTP Zugriff auf eine Linux Maschine vom WAN aus über eine DynDNS Adresse. ...

Netzwerkmanagement
Server bauen
Frage von JugendringNetzwerkmanagement10 Kommentare

Moin Moin, wir, der Jugendring sind ein ständig wachsender Verein mit vielen Unterprojekten. Da liegt es nah, dass wir ...