Sziasztok!
Lenne egy olyan feladatom, hogy egy több ezer felhasználós Google Apps for Education környezetben egy viszonylag professzionálisnak mondható megoldást vezessek be, amely digitálisan aláírt/titkosított levelezési lehetőséget biztosít néhány tucat fontosabb tisztségviselőnek. Ez a kör később esetleg bővülhet. A levelezés túlnyomó része a Gmail webes felületén zajlik. Mit gondoltok, az S/MIME vagy az OpenPGP szabvány felé orientálódjak? Nyilvános PKI infrastruktúrát használjak (esetleg pénzért vásárolt tanúsítványokkal), vagy sajátot építsek ki? Milyen szoftverterméket érdemes használni a Windows klienseken (és a PKI szervereken, ha arra kerül sor)?
Előre is köszönöm a tanácsokat.
- 2142 megtekintés
Hozzászólások
S/MIME mindenképp, azt a bíróság is elfogadja hivatalos iratként ha alá van írva.
- A hozzászóláshoz be kell jelentkezni
Az OpenPGP-t nem?
- A hozzászóláshoz be kell jelentkezni
PGP-vel max fokozott biztonságú elektronikus aláírás eszközölhető, a minősített ami teljes bizonyító erejűnek számít.
- A hozzászóláshoz be kell jelentkezni
Minősített elektronikus aláíráshoz mindenképpen hardveres kriptográfiai eszköz kell? Úgy értem, a sima számítógépen tárolt (de azért jó esetben jelszóvédett), ezért lemásolható titkos kulcs kizárja, hogy az aláírás minősített legyen, ugye?
- A hozzászóláshoz be kell jelentkezni
A törvénybe világosan le van írva, hogy mi kell, az nem opcionális.
- A hozzászóláshoz be kell jelentkezni
ez érdekes dolog. a törvény szerint csak a Biztonságos Aláírást Létrehozó Eszközből kinyert tanusítvánnyal hozható létre minősített elektronikus aláírás. Viszont a tanusítványt a hitelesítési szolgáltató újabban már kiadja szoftveresen is, azért, mert egy tv módosítás engedi a batch-szignózást -- ami gondolom szerveren tárolt tanusítványt feltételez. A vastagbetűs törvény viszont még érvényben van... Az aláírt doksiról nem lehet megállapítani, hogy BALE-ról vagy szerverről jött a certi.
Nekem úgy tűnik, hogy ez a vastagbetűs tv olyan, mint amelyik Oklahomában tiltja az orális szexet: abszolút betartathatatlan, csak akkor alkalmazható, ha valakit konkrétan ezért x*patnak.
- A hozzászóláshoz be kell jelentkezni
Kérdés, hogy mit jelent a "viszonylag professzionálisnak mondható"
Mert ha nem csak "játszós" a felhasználói igény, akkor nem kérdés, hogy "rendes" cert-ek kellenek és stb.
De ha nincs semmiféle (törvényi, partneri, stb.) megfelelőségi kényszer, akkor akár pgp/gpg, vagy bármi is lehet.
De a user akkor is át fogja küldeni (egyszer, véletlenül, stb.) titkosítás nélkül is a vackát, szóval kérdés, hogy a gapps-en belül mit lehet kikényszeríteni...
- A hozzászóláshoz be kell jelentkezni
Hát, sajnos, úgy látom, hogy Windows-on a webmail-ben történő (javascript alapú, pl. penango, mailvelope) kriptográfia, sőt, általában az OpenPGP járhatatlan útnak tűnik, szóval marad az Outlook-S/MIME páros. Ehhez mit javasoltok? Helyi PKI infrastruktúrát, vagy üzleti CA-tól (pl. netlock) vásárolt X.509 tanúsítványokat? Esetleg jó az ingyenes megoldás is? Pl.:
https://www.instantssl.com/ssl-certificate-products/free-email-certific…
- A hozzászóláshoz be kell jelentkezni
OK, komoly haladást értem el az ügyben: http://hup.hu/node/137322
Már tényleg csak az a kérdésem, hogy milyen forrásból javasoljátok beszerezni az X.509 tanúsítványokat egy viszonylag professzionálisnak mondható S/MIME infrastruktúrához?
- A hozzászóláshoz be kell jelentkezni