S/MIME Aktivieren - Wie geht's, wer hat es im Einsatz?

[stickybit]

Hallo,

nach dem ich nun die Suche hier im Forum bemüht habe und keine Passende Antwort finden konnte, stelle ich einfach mal die Frage ins Forum.

Bei uns soll. für die Kommunikation mit bestimmten Kunden, die S/MIME Verschlüsselung aktiviert werden. Dazu muss ich wohl erst einmal ein Zertifikat erstellen. Ich denke auch mal das dieses Zertifikat in irgend einer Form signiert werden muss und das ich dieses der Empfängerseite auch irgendwie zur Verfügung stellen muss?!

Alles was ich gefunden habe, war ein toter Link:

http://www-1.ibm.com/support/manager.wss?rs=0&rt=0&org=sims&doc=BFC757092FDAF45285256B22006AC6B3

 

Hat jemand einen aktuellen Link, wo man nachlesen kann wie das S/MIME aktiviert und eingesetzt wird? Ist für mich nicht so ganz transparent und ich habe hier ehrlich gesagt ein wenig Verständnisprobleme wie ich es am einfachsten umsetzen kann.

Danke im Voraus!

Gruss
Sticky

[MartinG]

SMIME wird verwendet um E-Mails zu verschlüsseln benötigt aber zum Ver- und entschlüsseln zusätzlich ein Zertifikat das den entsprechenden Schlüssel enthält. Alle Infos findest Du in der Notesclient und Notesadminhilfe...

http://www.bps-europe.net/help/help8_admin.nsf/57b669b13aec7ba780256c250050b13e/e2fd0c933b70e5d8c125733a002739a3!OpenDocument

Würde Notesseitig davon abraten - das ganze funktioniert grundsätzlich und ist auch schnell umgesetzt (wenn man sich ein wenig auskennt). Die Nachteile sind aber für mich zu gravierend, als dass ich es als kaum praxistauglich sehe:

- Zertfikatsverwaltung geschieht IMHO ausschliesslich im Useradressbuch (natürlich nicht das eigene)
- es gibt keine "Garantie" dass die Email verschlüsselt übermittel wurde bzw man kann IMHO kein Regelwerk definieren, dass z.B. Emails an kunde immer verschlüsselt werden, sondern man muss den Haken "manuell" setzen
- wenn es nur um den Empfang geht, dann könnte es vielleicht als Bastellösung für KMU durchgehen. Wenn es aber auch um das Versenden von verschlüsselten Emails geht, wo dieses sichergestellt werden muss ist es IMHO nicht ausreichend

Nehmt eine Gatewaylösung welche sauber funktioniert, oder wenn es sich nur um 1-2x Arbeitsplätze handelt wäre PGP Desktop eine Alternative...

[WernerMo]

Hallo,

+1 für Martin.
Das ist auch meine Meinung, daher habe ich zuerst nicht geantwortet.

Gruß aus Nürnberg
Werner

[Patrick Schneider]

Hallo zusammen,

unabhängig von der Sinnfrage: Ich habe das gerade im IBM Domino Wiki (verlinkt) gefunden:
http://www-10.lotus.com/ldd/dominowiki.nsf/dx/Secure_Email_between_Lotus_Notes_and_the_Outside_World_(a.k.a._SMIME_revisited)
http://chc-3.com/pub/Notes-Internet-Encrypted-Email.pdf

Gruß,
Patrick

[stickybit]

SMIME wird verwendet um E-Mails zu verschlüsseln benötigt aber zum Ver- und entschlüsseln zusätzlich ein Zertifikat das den entsprechenden Schlüssel enthält. Alle Infos findest Du in der Notesclient und Notesadminhilfe...

http://www.bps-europe.net/help/help8_admin.nsf/57b669b13aec7ba780256c250050b13e/e2fd0c933b70e5d8c125733a002739a3!OpenDocument

Würde Notesseitig davon abraten - das ganze funktioniert grundsätzlich und ist auch schnell umgesetzt (wenn man sich ein wenig auskennt). Die Nachteile sind aber für mich zu gravierend, als dass ich es als kaum praxistauglich sehe:

- Zertfikatsverwaltung geschieht IMHO ausschliesslich im Useradressbuch (natürlich nicht das eigene)
- es gibt keine "Garantie" dass die Email verschlüsselt übermittel wurde bzw man kann IMHO kein Regelwerk definieren, dass z.B. Emails an kunde immer verschlüsselt werden, sondern man muss den Haken "manuell" setzen
- wenn es nur um den Empfang geht, dann könnte es vielleicht als Bastellösung für KMU durchgehen. Wenn es aber auch um das Versenden von verschlüsselten Emails geht, wo dieses sichergestellt werden muss ist es IMHO nicht ausreichend

Nehmt eine Gatewaylösung welche sauber funktioniert, oder wenn es sich nur um 1-2x Arbeitsplätze handelt wäre PGP Desktop eine Alternative...

Hammer!

Das ist mal wirklich ein saubere Antwort und sehr gut erklärt!

Ich weiss das die betroffenen PC's über PGP Software verfügen. Es sollte also aus meiner Sicht und nach den Argumenten die hier aufgeführt wurden, durchaus Sinn machen das ganze mit PGP umzustezen.

Einziges Hindernis wird wahrscheinlich mein Chef sein. Er will manchmal Dinge einfach so haben, wie er es nun mal für richtig hält...

...ob diese dann Sinn machen, sei mal dahingestellt! 

Ersteinmal vielen Dank an alle für die super Tipps.
Verschlüsselung via S/MIME ist es im Prinzip schon umgesetzt, war ja echt easy!

Besten Gruss & Dank an das tolle Forum hier

Sticky

[m3]

... Nehmt eine Gatewaylösung welche sauber funktioniert, ...

+1

z.B. IBM Protector for Mail Encryption

[Heiggo]

Uppsala, ist das Thema S/MIME tatsächlich so kompliziert?

Die Ursprungsanforderung war doch eigentlich, das mit gewissen Kunden S/MIME-codierte Mails ausgetauscht werden sollen, oder habe ich da was falsch verstanden? Selbst derartige Zertifikate über Keyrings etc. pp. zu erstellen steht eigentlich eher im Widerspruch zu einem normalen PKI-Gedanken. Es sei denn, man will lediglich S/MIME anwenden um der Funktionalität willen *grauelschauder*.

Da stellt sich mir auch die Frage, warum PGP Desktop ins Gespräch kommt. Das mag die kostengünstigere Lösung für eine Verschlüsselung mit externen Kunden sein, aber wenn diese sich nun einmal für S/MIME entschieden haben kann man als Dienstleister wohl nur schwer den Kunden überreden, auf PGP umzuschwenken. Kompatibel dürften die beiden Systeme wohl kaum sein.
Meines Wissens nach ist S/MIME (X.509) Standard, PGP eher Kür.
Wir verwenden X.509-Zertifikate seit geraumer Zeit. Die Dominas müssen dafür nicht sonderlich vorbereitet werden, aber die Clients.
Wir verwenden als Middleware Nexus Personal um die jeweiligen Zertifikate (Es gibt ja auch noch andere sinnvolle Anwendungen fern ab von S/MIME-Verschlüsselung) an die Anwendungen zu übergeben. Der Notes-Client erhält bei uns das PlugIn cv act s/mail von cryptovision.
Man muss natürlich zusehen, wo man die notwendigen Zertifikate her bekommt. Hat man ein eigenes Trustcenter, ist die Sache einfach, ansonsten muss man logischerweise bei einem Trustcenter einkaufen. Das kann teuer werden, je nach dem, welche Zertifikatsqualifizierung (einfache, fortgeschrittene oder qualifizierte) man benötigt.
Einfache Zertifikate erhält man bei diversen Trustcentern für umme! Allerdings haben diese keine Rechtsgültigkeit, weil der Nutzer nicht wirklich identifiziert wird. Man muss lediglich über eine e-mail-Adresse verfügen, die sich bestätigen lässt. Ob der Nutzer auch tatsächlich der Eigentümer ist wird nicht geprüft.
Fortgeschrittene Zertifikate erfordern eine reale Identifikation eines Nutzers. Der Nutzer muss sich dann bei einer Local Registration Authority persönlich vorstellen und irgendeinen Ausweis vorzeigen bevor er ein Zertifikat erhält. Diese Zertifikate eignen sich aber nur für interne Zwecke und natürlich für gesicherte Kontakte mit Kunden.

Ähnlich ist es dann bei einem qualifizierten Zertifikat, das ist dann aber mit Sicherheit recht teuer, denn damit kann man, bis auf wenige Ausnahmen rechtsverbindlich Dokumente signieren. Ausnahmen hierbei wären dann z.B. Testamente. Aber normale Verträge werden über eine qualifizierte Signatur/Zertifikat ohne weiteres möglich.

Gruß aus Stuttgart

Heiggo

[m3]

"Kompliziert" ist so eine Sache.

S/MIME bedingt, dass die beteiligten User ihre Schlüssel austauschen (verifizieren), Revocationlists verwenden, Verschlüsselung auswählen, Stammzertifikate einspielen (wenns nicht der Admin macht), ...

Es sind einfach sehr viele manuelle Schritte, die von vielen Usern nicht geschafft werden. Daher tendieren viele dazu, das alles automatisch am Gateway zu machen. Da kann man eine Regel definieren, alles was an example.com verschickt wird, muss verschlüsselt werden und das System kümmert sich drum, dass die Keys ausgetauscht werden, usw.

Wenn man sich auskennt, ist vieles nicht kompliziert, aber wenn Du User hast, die noch immer einen Brief ausdrucken um ihn dann zu faxen oder das doc dann an die Mail anhängen anstatt den Text in die Mail zu schreiben, ... 

Aber X.509 und S/MIME anstelle von PGP im Geschäftsumfeld. Da stimme ich Dir zu.

[Heiggo]

Hi Martin,

OK, das stimmt wohl. Ich betreibe das Thema seit diversen Jahren und bin vermutlich betriebsblind und erkenne die Komplexität nicht mehr. Für mich ist das X.509-Thema mittlerweile in Fleisch und Blut übergegangen. Allerdings liebe ich das Thema auch.

By the way: Manueller Schlüsselaustausch, Root-Zertifikat-Bereitstellung, CRL- und OCSP-Zugriffs-Bereitstellung auf Nutzer-administrativer Ebene ist nur da notwendig, wo sich Admins (nicht DOMINO-/NOTES-Admins) nicht auskennen!

Gruß aus Stuttgart

Heiggo

[MartinG]

Ich stimme Euch beiden absolut zu (m3 und heiggo) - mit allen Aussagen. Es ist nicht übermäßig kompliziert, aber man muss sich schon ein wenig einarbeiten in die Materie...

Es gibt allerdings ein kleines Missverständnis:  der PGP Desktop Client kann  problemlos S/MIME kann und ist das einzige Produkt, welches ich gefunden habe welches sich in Notesclient halbwegs sauber eingebunden hat und recht gut funktioniert. Ist der einzige Grund weshalb ich ihn jetzt aufgeführt habe...

Für mich macht Verschlüsselung nur mit Regelwerk Sinn, und das idealerweise am Gateway und wenn hierfür kein Geld da ist dann halt am Client und das kann der PGP Desktopclient problemlos (ist natürlich trotzdem keine tolle Lösung...)

[(h)uMan]

wenn auch noch
- unterschiedliche "Mail"-Clients eingesetzt werden (Notes, iNotes, Outlook, Thunderbird, Apple Mail, etc.),
- ein Anwender verschiedene Endgeräte (Notebook, Pad, Smartphone) nutzt,
- verschiedene Client-Betriebssysteme (Win7 64, Win XP, Linux, MacOS, iOS, Android) im Einsatz sind,
- gerne der Anwender auch noch häufig "mobil" arbeitet
und Mails signiert und/oder verschlüsselt ausgetauscht werden sollen.

Hat jemand die gleichen oder ähnliche Anforderungen und eine Lösung im Einsatz bzw. mal evaluiert?

Wir haben mal vereinzelt PGP Desktop eingesetzt, ist uns aber letztendlich bei unternehmensweiten Einsatz im Betrieb zu teuer (Lizenzen, Implementierung, User-Support).

[MartinG]

@Neo - so sieht die Situation relativ schnell aus.

Wir haben (kann aber nur S/MIME) von M86Security den SES-Server im Einsatz:   
http://www.m86security.com/products/email_security/mailmarshal-secure-email-server.asp

Dieser ist nicht schlecht und funktioniert auch ordentlich und ist vor allem sehr bezahlbar. Man muss dazu sagen, dass wir auch von M86Security das Produkt Mailmarshal SMTP einsetzen, welches weltweit sicherlich eines der besten Produkte ist für Spam, Contentfiltering für Email etc...

Hat mal wieder den Namen gewechselt...
http://www.m86security.com/products/email_security/mailmarshal-secure-email-gateway.asp

Im Vergleich zu der genialen Lösungen vom Secure-Email-Gateway kann der SES-Server nicht ganz mithalten (Bedienung/Konzeption). Als wir vor drei Jahren ein wenig (aber nicht sehr im Detail) evaluiert haben, hat der PGP Universal Server (jetzt Symantec PGP Universal Server) den besten Eindruck gemacht. War aber auch sauteuer...

Kann bei Interesse auch einen Kontakt zu einem DL herstellen. Einfach kurze PM an mich...

[stickybit]

Hallo zusammen,

ich muss wirklich noch mal ein riesen Lob an das Forum abgeben. Die Diskussion in diesem Thread war für mich wirklich nützlich. Mir als relativ "jungen" Domino Admin, waren viele Dinge die hier genannt weurden, nicht bewusst oder bekannt!

Wir haben es nun bei uns wirklich mittles Zertifikat über S/MIME umgesetzt.

Dies war bei uns so gewünscht, so wurde es gemacht und "alle" sind hier nun Glücklich!
Ich selbst hätte es nach den ganzen Gedankenanstößen und Hinweisen aus dem Thread hier definitiv anders gemacht, aber ok...

Wie sagt man so schön "es ist wie es ist" 

Noch mal vielen Dank - wirklich 1A!!!

Gruss
Sticky

[Fitz]

Hallo stickybit,

noch ein paar Fragen zum Thema. Auf welchem Weg habt Ihr S/MIME implementiert? Also zentral per Gateway oder lokal am Client? Welches Produkt setzt Ihr ein?

Ich hab hier eine ähnliche Anforderung auf dem Tisch liegen und soll nun die "Möglichkeiten" prüfen.

Danke für Infos.

Gruß
Bernd