OpenPGP vagy S/MIME

 ( nice | 2014. december 2., kedd - 22:49 )

Sziasztok!

Lenne egy olyan feladatom, hogy egy több ezer felhasználós Google Apps for Education környezetben egy viszonylag professzionálisnak mondható megoldást vezessek be, amely digitálisan aláírt/titkosított levelezési lehetőséget biztosít néhány tucat fontosabb tisztségviselőnek. Ez a kör később esetleg bővülhet. A levelezés túlnyomó része a Gmail webes felületén zajlik. Mit gondoltok, az S/MIME vagy az OpenPGP szabvány felé orientálódjak? Nyilvános PKI infrastruktúrát használjak (esetleg pénzért vásárolt tanúsítványokkal), vagy sajátot építsek ki? Milyen szoftverterméket érdemes használni a Windows klienseken (és a PKI szervereken, ha arra kerül sor)?

Előre is köszönöm a tanácsokat.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

S/MIME mindenképp, azt a bíróság is elfogadja hivatalos iratként ha alá van írva.


MikroVPS

Az OpenPGP-t nem?

PGP-vel max fokozott biztonságú elektronikus aláírás eszközölhető, a minősített ami teljes bizonyító erejűnek számít.


MikroVPS

Minősített elektronikus aláíráshoz mindenképpen hardveres kriptográfiai eszköz kell? Úgy értem, a sima számítógépen tárolt (de azért jó esetben jelszóvédett), ezért lemásolható titkos kulcs kizárja, hogy az aláírás minősített legyen, ugye?

A törvénybe világosan le van írva, hogy mi kell, az nem opcionális.


MikroVPS

ez érdekes dolog. a törvény szerint csak a Biztonságos Aláírást Létrehozó Eszközből kinyert tanusítvánnyal hozható létre minősített elektronikus aláírás. Viszont a tanusítványt a hitelesítési szolgáltató újabban már kiadja szoftveresen is, azért, mert egy tv módosítás engedi a batch-szignózást -- ami gondolom szerveren tárolt tanusítványt feltételez. A vastagbetűs törvény viszont még érvényben van... Az aláírt doksiról nem lehet megállapítani, hogy BALE-ról vagy szerverről jött a certi.
Nekem úgy tűnik, hogy ez a vastagbetűs tv olyan, mint amelyik Oklahomában tiltja az orális szexet: abszolút betartathatatlan, csak akkor alkalmazható, ha valakit konkrétan ezért x*patnak.

Kérdés, hogy mit jelent a "viszonylag professzionálisnak mondható"

Mert ha nem csak "játszós" a felhasználói igény, akkor nem kérdés, hogy "rendes" cert-ek kellenek és stb.
De ha nincs semmiféle (törvényi, partneri, stb.) megfelelőségi kényszer, akkor akár pgp/gpg, vagy bármi is lehet.
De a user akkor is át fogja küldeni (egyszer, véletlenül, stb.) titkosítás nélkül is a vackát, szóval kérdés, hogy a gapps-en belül mit lehet kikényszeríteni...

Hát, sajnos, úgy látom, hogy Windows-on a webmail-ben történő (javascript alapú, pl. penango, mailvelope) kriptográfia, sőt, általában az OpenPGP járhatatlan útnak tűnik, szóval marad az Outlook-S/MIME páros. Ehhez mit javasoltok? Helyi PKI infrastruktúrát, vagy üzleti CA-tól (pl. netlock) vásárolt X.509 tanúsítványokat? Esetleg jó az ingyenes megoldás is? Pl.:

https://www.instantssl.com/ssl-certificate-products/free-email-certificate.html

OK, komoly haladást értem el az ügyben: http://hup.hu/node/137322

Már tényleg csak az a kérdésem, hogy milyen forrásból javasoljátok beszerezni az X.509 tanúsítványokat egy viszonylag professzionálisnak mondható S/MIME infrastruktúrához?