OpenPGP vagy S/MIME

Sziasztok!

Lenne egy olyan feladatom, hogy egy több ezer felhasználós Google Apps for Education környezetben egy viszonylag professzionálisnak mondható megoldást vezessek be, amely digitálisan aláírt/titkosított levelezési lehetőséget biztosít néhány tucat fontosabb tisztségviselőnek. Ez a kör később esetleg bővülhet. A levelezés túlnyomó része a Gmail webes felületén zajlik. Mit gondoltok, az S/MIME vagy az OpenPGP szabvány felé orientálódjak? Nyilvános PKI infrastruktúrát használjak (esetleg pénzért vásárolt tanúsítványokkal), vagy sajátot építsek ki? Milyen szoftverterméket érdemes használni a Windows klienseken (és a PKI szervereken, ha arra kerül sor)?

Előre is köszönöm a tanácsokat.

Hozzászólások

S/MIME mindenképp, azt a bíróság is elfogadja hivatalos iratként ha alá van írva.

MikroVPS

ez érdekes dolog. a törvény szerint csak a Biztonságos Aláírást Létrehozó Eszközből kinyert tanusítvánnyal hozható létre minősített elektronikus aláírás. Viszont a tanusítványt a hitelesítési szolgáltató újabban már kiadja szoftveresen is, azért, mert egy tv módosítás engedi a batch-szignózást -- ami gondolom szerveren tárolt tanusítványt feltételez. A vastagbetűs törvény viszont még érvényben van... Az aláírt doksiról nem lehet megállapítani, hogy BALE-ról vagy szerverről jött a certi.
Nekem úgy tűnik, hogy ez a vastagbetűs tv olyan, mint amelyik Oklahomában tiltja az orális szexet: abszolút betartathatatlan, csak akkor alkalmazható, ha valakit konkrétan ezért x*patnak.

Kérdés, hogy mit jelent a "viszonylag professzionálisnak mondható"

Mert ha nem csak "játszós" a felhasználói igény, akkor nem kérdés, hogy "rendes" cert-ek kellenek és stb.
De ha nincs semmiféle (törvényi, partneri, stb.) megfelelőségi kényszer, akkor akár pgp/gpg, vagy bármi is lehet.
De a user akkor is át fogja küldeni (egyszer, véletlenül, stb.) titkosítás nélkül is a vackát, szóval kérdés, hogy a gapps-en belül mit lehet kikényszeríteni...

Hát, sajnos, úgy látom, hogy Windows-on a webmail-ben történő (javascript alapú, pl. penango, mailvelope) kriptográfia, sőt, általában az OpenPGP járhatatlan útnak tűnik, szóval marad az Outlook-S/MIME páros. Ehhez mit javasoltok? Helyi PKI infrastruktúrát, vagy üzleti CA-tól (pl. netlock) vásárolt X.509 tanúsítványokat? Esetleg jó az ingyenes megoldás is? Pl.:

https://www.instantssl.com/ssl-certificate-products/free-email-certific…

OK, komoly haladást értem el az ügyben: http://hup.hu/node/137322

Már tényleg csak az a kérdésem, hogy milyen forrásból javasoljátok beszerezni az X.509 tanúsítványokat egy viszonylag professzionálisnak mondható S/MIME infrastruktúrához?