Domino 9 und frühere Versionen > ND6: Administration & Userprobleme
"internet" zertifikate
Arno:
in gewisser weise gebe ich dir schon recht, aber die sache muss ja nunmal auch administrierbar sein, ich wiess nicht ueber was fuer user du so verfügst aber wenn ich mal meinen standard zu grunde lege, dann haben die leute 5 minuten nach einführung von pgp keine rechte mehr ihre mails zu lesen, und wenn du sowas schon an den *pranger* stellst , nicht ganz zu untrecht, was denkst du erst dann ueber die ACL sicherheit unter r6 wenn mann sich als admin uneingeschränke rechte geben kann ?
ich gebe zu das soch eine zentrale verwalungsstelle besonders gesichert sein sollte,
aber dennoch halte ich sie aus administrativer sicht für notwendig,
denn den die meisten user wissen mit pgp eh nichts anzufangen geschweige denn,
das sie eine entsprechende installaton vornehmen könnetn,
da er auch schleptops hat kann / wird es wohl so sein das eine maildatanbank sowohl auf dem laptop als auf dem standgerät und natuerlich auch auf dem server repliziert,
da er uebrall seine mails lesen will muss der selbe schlüssel also auf allen geräten der selbe sein , was bedeutet das dieser dann eh ihrgendo hinterlegt sein mus, da sonst nach einen system crash die mails zwar verschlüssselt aber nicht mehr lesbar währen, eine zentrale sicherung der user schlüssel ist daher extrem wichtig, ferner heisst es zwar persönliche maildatenbank, aber es muss dennoch auch sichergestellt werden das die firma an und für sich an die daten gelangen kann die in dieser datenbak liegen ( im rechtlichen rahmen natuerlich , ich denke da an sterbefälle, fristlose kündigungen und so weiter )
mfg
gont
m3:
Klar, am Ende des Tages läuft es wieder auf die Frage "Whom do you trust" hinaus.
Wenn man PGP in einem Umfeld einsetzten will, indem "die Firma" auch nach meinem Austritt/Tod zugriff auf meine Mails haben will, muss man zu Lösungen wie dem kommerziellen PGP mit "Key Escrow" greifen -- da ist dann die Hintertür gleich eingebaut.
Es stellt sich für mich auch die Frage, was HipSlus Firma mit PGP erreichen will? Für eine einfache digitale Sigratur für alle ausgehenden Mails gibts bereits Appliances, die das machen und intern gäbe es sowieso die Notes-Infrastruktur.
Eine weitere Frage, die sich mir aufdrängt: Warum PGP und nicht das integrierte S/MIME? Also gerade im kommerziellen Umfeld sehe ich mehr S/MIME Lösungen, als PGP.
Ad Full Access Admin:
Wie die Online-Hilfe schon so schön ausführt, hab ich die gleichen Rechte, wenn ich auf dem Server lokal einen Notes-Client ausführe -- es ist einfach eine Erleichterung für den Admin. Vor allem, wenn der Server ein paar Kilometer entfernt in einem Hosting-Center steht. Und auf verschlüsselte Mails hast Du auch als Full AccessAdmin keinen Zugriff:
--- Zitat ---Full access administrator does not allow access to encrypted data. The use of the specified user's private key is required to decrypt documents that are encrypted with public keys. Similarly, a secret key is required to decrypt documents encrypted with secret keys.
...
You can disable the Full Access Administrators field by setting SECURE_DISABLE_FULLADMIN = 1 in the NOTES.INI file. This setting disables full access adminstrator privilege and overrides any names listed in that field in the Server document.
--- Ende Zitat ---
Und nachdem der Einsatz des Full Access Admin-Modes mitprotokolliert wird, sehe ich da kein wirkliches Problem.
Und Verschlüsselung ist kein triviales Thema. Und auch keines, das sich für den User mit Technologie so vereinfachen lässt, dass kein Verlust an Sicherheit entsteht. Also müssen die User in die Pflicht genommen werden. Mündige Bürger, mündige User! ;)
Navigation
[0] Themen-Index
[*] Vorherige Sete
Zur normalen Ansicht wechseln