Re: Zuverlaesiger GnuPG-Plugin

---

• From: Pascal B. Kreil <news@xxxxxxxxxxxxxx>
• Date: Sun, 16 Jul 2006 15:30:02 +0200

---

On 16 Jul 2006 14:05:00 +0200,
UseNet-Posting-Nospam-74308-@xxxxxxxxxxxxxxxxx (Rainer Zocholl) wrote:

(Pascal B. Kreil) 16.07.06 in /de/comp/security/misc:

On 16 Jul 2006 00:18:00 +0200,
UseNet-Posting-Nospam-74308-@xxxxxxxxxxxxxxxxx (Rainer Zocholl) wrote:

Der WinPT semmelt ab, wenn man keinen Key-Server angibt
und ist vom handling dem typischen Windows-Deppen nicht zu mutbar.

Was spricht denn gegen den Einsatz des kommerziellen PGP?

Die fehlende Opensource?

Hmm... Nur mal so als Feststellung... Du willst das auf einer
Outlook/Exchange-Umgebung nutzen. Soweit ich weiss ist das so weit von
OSS entfernt wie es nur sein kann.

Die evtl. Backdoor für den US-Geheimdienst?

Gibt es sie oder gibt es sie nur eventuell? Die Zeit dieser
Zweitschlüssel (ich weiss die Abkürzung nicht mehr, das ist alles
schon wieder so ewig lang her) ist AFAIK schon lange vorbei.

Das läuft tadellos mit Outlook, hat eine schmucke Oberfläche
und ist daher auch für den von Dir genannten Windows-Deppen zu bedienen.

Wäre ja ein Grund... (Leider ;-()

Ja, eben.

Da es hier irgendwie um eine Betriebsinterne Kommunikation geht ist
das mit PGP ja kein Problem.

a) Wieso?

Weil innerhalb der homogenen Betriebs-IT PGP als Vorausetzung
definiert und umgesetzt werden kann. Anders sieht es da mit der
Kundenkommunikation aus. Diesem ist nicht aufzuzwingen flächendeckend
das Unternehmen mit PGP auszustatten nur um mit einer anderen Firma
Mails tauschen zu können.

b) Nein, nicht nur.
Es gibt auch ausserbetriebliche Kommunikation, vgl. obige Weiterleitungs
problematik.

Die übrigen Kommunikationspartner verfügen über die technischen
Voraussetzungen zur Verarbeitung von PGP-verschlüsselten Mails, oder
muss es ihnen erst aufgezwungen werden?

c) Es ist für den Admin deutlich einfacher zusagen:
"Nein, Chef, es ist völlig unmöglich die eMails von Herrn X
zu entsclüsseln, nicht nur wg. der 5 Jahre Knast die ich damit
riskieren würde, es get schon tecnisch nicht bis zum Ende der
Lebenszeit unserer Sonne"

Das schon, aber das ist bei S/MIME ja auch nicht anders.

Interessant ist wohl auch die Frage wie es bez. Basel II mit der
Speicherung aller für einen Geschäftvorgang relevanten eMails ist.
Dürfen die auch verschlüsselt gespeichert werden?

Ich hatte letztens genau über dieses Problem nachzudenken.
Selbstverständlich kann die Firma die Daten verschlüsselt ablegen (das
darf sie auch mit GDPdU-Daten), allerdings muss sie sicherstellen,
dass die Daten auch jederzeit wieder entschlüsselt werden können, denn
sie müssen für eine Prüfung unverschlüsselt bereitgestellt werden.

Macht das nicht zwingend einen Zweitschlüssel nötig?

Nein. Es ist alleine die Verantwortung des Unternehmens die Daten in
unverschlüsselter Form für eine Prüfung bereitzustellen. Wie sie
intern gespeichert werden ist dabei egal.

Soll es auch noch woanders hin würde ich
wegen der besseren Usability S/MIME bevorzugen weil es der Client
schon von Hause aus kann -- das ist oftmals ein Argument.

Und wie entschlüssle ich S/MIME die mir auf meinen AOL-Account
weitergeleitet wurden?

Garnicht. Aber da bei Euch ja Exchange läuft ist es kein Problem
unterwegs per OWA auf die Daten zuzugreifen. Für den IE (mit was
anderem mach OWA ja leider sowieso keinen Spass) gibt es ein
ActiveX-Plugin mit dem sich S/MIME signieren, entschlüsseln und
verschlüsseln lässt.
Natürlich muss auf dem abrufenden Rechner der private Schlüssel
vorhanden sein. Die Signatur überprüfen geht natürlich auch ohne.

Garnicht, weil eh schon Klartext dank zentraler Entschlüsselung?

Wer entschlüsselt das denn zentral?

Sollen bei Euch die Mail auf dem Gateway direkt entschlüsselt bzw.
verschlüsselt werden? Dann wäre aber eine OL-Integration ziemlich
überflüssig, oder?

(Das ne Frage, bisher war mir S/MIME nur im Zusmmenhang mit
"hohe Folgekosten" "Server-server" kommunikation aufgefallen.)

S/MIME verschlüsselt und signiert Dein Mailprogramm. Das kann Outlook,
OE, Thunderbird und eigentlich alle derzeit verfügbaren und
brauchbaren Mailclients. Einzig wenn man OL an EXCH bindet und per
RPCoverHTTP nutzt klappt die Signierung und Verschlüsselung nur bei
aktiver Serververbindung.

Ausserdem:
Was wird eine kleine Klitsche sagen, die, will sie den Auftrag
haben, erst mal die gesamte Auftragsumme in PKI und teuere Zertifikate
etc. investieren muss?

Was wird eine "kleine Klitsche" sagen wenn sie erst einmal überall PGP
installieren muss und damit dann unter Umständen für Probleme bei
ihrer eigenen IT sorgt? Ich kann nur aus meiner eigenen Erfahrung
sagen, dass diese Eingriffe gar nicht gerne gesehen werden.

Rechnen wir mal einfach und gehen davon aus, dass konkret vielleich 3
Leute des anderen Unternehmens über ein Zertifikat verfügen müssen.
Bei Verisign gibt es X.509-Zertifikate Class1, die auch kommerziell
verwendet werden können auf den Namen des Anwenders (nicht auf das
Unternhemen, das kost' beim trustcenter 65,- € pro Zertifikat) knappe
20,- €. Die Lizenz für das kommerzielle PGP kostet auch dann noch
deutlich mehr wenn man nur die Jahreslizenz kauft. Ich kann also die
drei Personen für einen geringeren Betrag mit PKI versorgen als eine
einzige Lizenz für PGP kostet.

Warum ich nur von PGP schreibe? Nun, wenn GPG verwendet werden soll
entsteht noch einmal ein deutlich höherer Schulungsaufwand unf die
Einrichtung braucht entweder Einarbeitungszeit beim betroffenen
Unternehmen, oder aber sie müssen extern diese Dienstleistung
zukaufen. Bei S/MIME gibt es diese Probleme nicht.

Da ist auch ne Frage, keien Feststellung, ehe sich wer auf den
Sclips getreten füllt, weil das so nicht korrekt ist).

Kein Problem. Ich trage aus diesem Grund prinzipiell keine weissen
Schlipse ;-)


Bis denne,

Pascal
.

---

• Follow-Ups:
  • Re: Zuverlaesiger GnuPG-Plugin
    • From: Beate Goebel

• References:
  • Zuverlaesiger GnuPG-Plugin
    • From: Rainer Zocholl
  • Re: Zuverlaesiger GnuPG-Plugin
    • From: Pascal B . Kreil
  • Re: Zuverlaesiger GnuPG-Plugin
    • From: Rainer Zocholl

• Prev by Date: Re: Zuverlaesiger GnuPG-Plugin
• Next by Date: Re: Zuverlaesiger GnuPG-Plugin
• Previous by thread: Re: Zuverlaesiger GnuPG-Plugin
• Next by thread: Re: Zuverlaesiger GnuPG-Plugin
• Index(es):
  • Date
  • Thread

---

Relevant Pages Re: GPG/PGP-Support bei Amazon ... Wer hat schon ein signiertes persoenliches S/MIME Zertifikat? ... Das ist bei PGP nicht anders. ... Nur Vollidioten und Unwissende vertrauen ... (de.comp.security.misc) Re: =?ISO-8859-1?Q?Wie_verschl=FCssel_ic?= =?ISO-8859-1?Q?__h_meine_Daten_in_?= =?IS ... Thunderbird kann nur GPG. ... PGP/GPG und soweit ich weiss kann Enigmail eben nicht mit PGP umgehen. ... Für S/MIME gilt genau das, ... Zertifikat innerhalb von 5 Minuten. ... (de.comp.security.misc) Re: Wie =?UTF-8?Q?verschl=C3=BCssel?= ic h meine Daten in o f fenen WLAN Netz en ? ... Wo genau steht denn da jetzt was von PGP? ... nicht auf S/MIME, sondern PGP. ... mit welcher Klasse von Zertifikat die ... Das weiss man aber auch nicht nach dem Erwerb der kommerziellen ... (de.comp.security.misc) Re: GPG/PGP-Support bei Amazon ... Wer hat schon ein signiertes persoenliches S/MIME Zertifikat? ... Deutschland nicht vertrauen, ... Wenn ich hingegen bei PGP einem der Signierer deines Schluessels ... (de.comp.security.misc) Re: The whole Process ... S/MIME aware application to fool you :-) ... > has an invalid signature. ... > embedded in email and news clients from Microsoft and Netscape for years. ... Recently Spammers illustrated this perception problem by forging PGP ... (microsoft.public.platformsdk.security)

---

We are proud to have Web Hosting and Rack Housing from 9 Net Avenue Deutschland.
(15)