Domino 9 und frühere Versionen > ND8: Administration & Userprobleme

S/MIME Aktivieren - Wie geht's, wer hat es im Einsatz?

<< < (2/3) > >>

m3:

--- Zitat von: MartinG am 08.09.11 - 10:15:26 ---... Nehmt eine Gatewaylösung welche sauber funktioniert, ...
--- Ende Zitat ---
+1

z.B. IBM Protector for Mail Encryption

Heiggo:
Uppsala, ist das Thema S/MIME tatsächlich so kompliziert?

Die Ursprungsanforderung war doch eigentlich, das mit gewissen Kunden S/MIME-codierte Mails ausgetauscht werden sollen, oder habe ich da was falsch verstanden? Selbst derartige Zertifikate über Keyrings etc. pp. zu erstellen steht eigentlich eher im Widerspruch zu einem normalen PKI-Gedanken. Es sei denn, man will lediglich S/MIME anwenden um der Funktionalität willen *grauelschauder*.

Da stellt sich mir auch die Frage, warum PGP Desktop ins Gespräch kommt. Das mag die kostengünstigere Lösung für eine Verschlüsselung mit externen Kunden sein, aber wenn diese sich nun einmal für S/MIME entschieden haben kann man als Dienstleister wohl nur schwer den Kunden überreden, auf PGP umzuschwenken. Kompatibel dürften die beiden Systeme wohl kaum sein.
Meines Wissens nach ist S/MIME (X.509) Standard, PGP eher Kür.
Wir verwenden X.509-Zertifikate seit geraumer Zeit. Die Dominas müssen dafür nicht sonderlich vorbereitet werden, aber die Clients.
Wir verwenden als Middleware Nexus Personal um die jeweiligen Zertifikate (Es gibt ja auch noch andere sinnvolle Anwendungen fern ab von S/MIME-Verschlüsselung) an die Anwendungen zu übergeben. Der Notes-Client erhält bei uns das PlugIn cv act s/mail von cryptovision.
Man muss natürlich zusehen, wo man die notwendigen Zertifikate her bekommt. Hat man ein eigenes Trustcenter, ist die Sache einfach, ansonsten muss man logischerweise bei einem Trustcenter einkaufen. Das kann teuer werden, je nach dem, welche Zertifikatsqualifizierung (einfache, fortgeschrittene oder qualifizierte) man benötigt.
Einfache Zertifikate erhält man bei diversen Trustcentern für umme! Allerdings haben diese keine Rechtsgültigkeit, weil der Nutzer nicht wirklich identifiziert wird. Man muss lediglich über eine e-mail-Adresse verfügen, die sich bestätigen lässt. Ob der Nutzer auch tatsächlich der Eigentümer ist wird nicht geprüft.
Fortgeschrittene Zertifikate erfordern eine reale Identifikation eines Nutzers. Der Nutzer muss sich dann bei einer Local Registration Authority persönlich vorstellen und irgendeinen Ausweis vorzeigen bevor er ein Zertifikat erhält. Diese Zertifikate eignen sich aber nur für interne Zwecke und natürlich für gesicherte Kontakte mit Kunden.

Ähnlich ist es dann bei einem qualifizierten Zertifikat, das ist dann aber mit Sicherheit recht teuer, denn damit kann man, bis auf wenige Ausnahmen rechtsverbindlich Dokumente signieren. Ausnahmen hierbei wären dann z.B. Testamente. Aber normale Verträge werden über eine qualifizierte Signatur/Zertifikat ohne weiteres möglich.

Gruß aus Stuttgart

Heiggo

m3:
"Kompliziert" ist so eine Sache.

S/MIME bedingt, dass die beteiligten User ihre Schlüssel austauschen (verifizieren), Revocationlists verwenden, Verschlüsselung auswählen, Stammzertifikate einspielen (wenns nicht der Admin macht), ...

Es sind einfach sehr viele manuelle Schritte, die von vielen Usern nicht geschafft werden. Daher tendieren viele dazu, das alles automatisch am Gateway zu machen. Da kann man eine Regel definieren, alles was an example.com verschickt wird, muss verschlüsselt werden und das System kümmert sich drum, dass die Keys ausgetauscht werden, usw.

Wenn man sich auskennt, ist vieles nicht kompliziert, aber wenn Du User hast, die noch immer einen Brief ausdrucken um ihn dann zu faxen oder das doc dann an die Mail anhängen anstatt den Text in die Mail zu schreiben, ...  >:(

Aber X.509 und S/MIME anstelle von PGP im Geschäftsumfeld. Da stimme ich Dir zu.

Heiggo:
Hi Martin,

OK, das stimmt wohl. Ich betreibe das Thema seit diversen Jahren und bin vermutlich betriebsblind und erkenne die Komplexität nicht mehr. Für mich ist das X.509-Thema mittlerweile in Fleisch und Blut übergegangen. Allerdings liebe ich das Thema auch.

By the way: Manueller Schlüsselaustausch, Root-Zertifikat-Bereitstellung, CRL- und OCSP-Zugriffs-Bereitstellung auf Nutzer-administrativer Ebene ist nur da notwendig, wo sich Admins (nicht DOMINO-/NOTES-Admins) nicht auskennen!

Gruß aus Stuttgart

Heiggo

MartinG:
Ich stimme Euch beiden absolut zu (m3 und heiggo) - mit allen Aussagen. Es ist nicht übermäßig kompliziert, aber man muss sich schon ein wenig einarbeiten in die Materie...

Es gibt allerdings ein kleines Missverständnis:  der PGP Desktop Client kann  problemlos S/MIME kann und ist das einzige Produkt, welches ich gefunden habe welches sich in Notesclient halbwegs sauber eingebunden hat und recht gut funktioniert. Ist der einzige Grund weshalb ich ihn jetzt aufgeführt habe...

Für mich macht Verschlüsselung nur mit Regelwerk Sinn, und das idealerweise am Gateway und wenn hierfür kein Geld da ist dann halt am Client und das kann der PGP Desktopclient problemlos (ist natürlich trotzdem keine tolle Lösung...)

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete