postfix + digitalis alairas

Hálózatok egyéb

Meg lehet azt valahogy oldani, hogy a postfix a kimeno osszes levelet digitalisan alairja ugy mintha azt a felhasznlok csinaltak volna? Azaz minden userhez generalok egy kulcspart es a postfix a userhez rendelt kulccsal irjon ala! Lehet ilyet? Tud ilyet a postfix helybol? Par gugli kulcsszo is sokat segitene...

  • 1546 megtekintés

( colos | 2006. 10. 13., p – 18:34 )

ezt a funkciot nem a levelezoprogramnak kellene vegeznie? pl thunderbird eseten az enigmail

udv Zoli

"Enn telleg azt szeretnem, hogy azok a userek is digitalis alairassal levelezzenek akiknek fogalmuk sincs arrol, hogy mi is az..."

Akkor homályosítsd fel őket és olvasd el a címeket amit írtam, hogy neked is világos legyen! :)

----------------------------------------------------------------
"A megoldas mindeki kerdesere egyszeru.
OLVASSATOK DOKUMENTACIOT!"
by thuglife

"Nem csak lesz, erdekes is, es nem teljesen trivialis problemakat is felvet, de latom, te meg mindig nem erted. Nem is nagyon akarom torni magam, hogy megertsd mi lenne egy ilyennek a lenyege."

Azt akarja hogy az mta irja alá a leveleket.
Több mint < 300 kulcsot(pub/priv) kellene kezelni a postfixnek!

Erre a google sem adott semmit. :)

rka megadta a választ, miért. :)

----------------------------------------------------------------
"A megoldas mindeki kerdesere egyszeru.
OLVASSATOK DOKUMENTACIOT!"
by thuglife

Lecci _ezt_ a problemat oldjuk meg ha lehet, vagy deruljon ki, hogy ilyet nem lehet csinalni (bar ez utobbin csodalkoznek, azt viszont el tudom kepzelni, hogy tulsagosan bonyolult megoldani ahhoz, hogy foglalkozni akarjak vele).

Azert leirom, hogy miert akarom _igy_ megcsinalni. Lehet errol is gyozkodni, hogy ez miert hulyeseg, de jobban orulnek egy valodi megoldasnak.

- 300 user van es varhato, hogy a szamuk a kozeli jovoben megduplazodik. Nem fogok semmit elmagyarazni ennyi usernek, ugyis lenne egy 5-10% akikkel aztan meggyulne a bajom... MInden ilyesmi heleyett ha szerver oldalon (transzparens modon) meg tudok oldani egy problemat akkor azt valasztom.

- a userek nagy reszet nem erdekli a digitalis alairas, megis jol jarnanak a hasznalataval. A userek (jelentos resze) az ssh-t nem tudja megkulonboztetni a telnettol, en megsem hagyom hogy ok valasszanak, hanem ssh van, telnet pedig nincsen. Remelem latod az analogiat.

- a userek legalabb 3 kulonbozo modon (web, konzol, IMAP/SMTP kliens) es sok klienssel erik el a leveleiket. ELeg remenytelen lenne milndegyik modszerhez kidolgozni a modszert, ledoksizni, terjeszteni (lasd, elso pont). Sokkal kezenfekvobb a munkat azon a helyen elvegezni, ahol ugyis minden level atmegy. Ez pedig a postfix.

Szigoruan theoretical. GPG-vel nem tudsz jelszo nelkul kulcsot generalni, azt pedig senki nem fogja "beirogatni" postfixnal. Meg ugy egyaltalan, szerintem a GPG-t emailes kommunikaciohoz el kellene felejteni. Pont erre van az S/MIME, ami X.509 alapon oldja meg a problemat -- joval professzinoalisabban. En mindenkepp ebbe az iranyba mennek el. Ha komolyan gondolod, akkor egy trusted CA-val kell alairtani minden cert-et, mert kulonben a partnercegek kirohognek. (Jozsika Bt-s CA-val max. cegen belul erdemes hitelesiteni, s azt is csak akkor ha az osszes gepre fel tudod varazsolni a sajat CA-dat.) Ekkora felhasznalo szamnal mar komoly energia a tanusitvanyok karbantartasa is (elkeszites, raktarozas, biztonsag stb.). Elmegy X a cegtol, a cert-jet vissza kell vonatni a CA-nal -- nem eleg letorolni a privat kulcsot. Ha ennyire nem akarod komolyan nyomni, akkor erdekes lehet meg a http://pki.openca.org/ is. Konkretumot sajnos nem tudok irni, en amugy is exim-et hasznalok.

ilyet nem lehet csinalni.
Nem szeretnek ott levelezni, ahol az _en_ azonositasom tolem fuggetlenul zajlik. Bizonyito erovel biro alairas nem mukodik az alairo kozremukodese nelkul, egyeb alairasnak pedig nem sok ertelme van. Az alairas lenyege a bizalmassag, melyet keszulsz alaasni. Biztos lehetek benne (jo kozelitessel), hogy attol jott a level aki allitja, hogy tole jott es ala is irta azt. Nos, ez nem a rendszergazda.
Mindez elmeleti okfejtes, de gondold el: Szeretned -e olyan okiratokon olvasni az alairasod, melyeket nem te irtal ala?
A levelszervered tehet alairast a kezelt levelekre, de az nem megszemelyesites, hanem technikai megoldas.

Akkor innen szigoruan elmeleti alapokon. Oke, akkor Tfh valahogy azonositjuk a szerveren a felhasznalot (ez azert nem tul ritka eset). Miutan azonositottuk, azt mondjuk, hogy biztosan o volt, ezert csapjuk hozza az alairasat. Miben mas ez, mintha a MUA-ban beklikkelne, hogy minden kimeno levelet irjon ala? Tfh. a serveren van valami magic kapcsolo, amit a user sajat maganak tud kapcsolgatni, hogy irja-e ala a leveleit vagy nem. Itt nem ez a lenyeg, hanem hogy akarmilyen klienst hasznal a felhasznalo, tud alairni anelkul, hogy tudna mi az a PGP, vagy az S/MIME. Ot csak az erdekli, hogy most en ezt ala akarom irni (azt valoszinu tudja mi), akkor hasznalja a magic kapcsolot. Az otlet az, hogy ne a MUA-ban legyen ez implementalva, hanem az MTA-hoz közelebb, hogy kozpontositottan lehessen hasznalni, igy pl. egy adott rendszer eseten nem kell mindenki gepere olyan kliens, ami ezt tamogatja, nem kell nekik kulon segiteni beallitani, mert maguktol nem tudjak, nem kell olyan webmailt hasznalni, ami ezt tudja, stb. Csokkentettuk a komplexitast, es a usereknek is kevesebbet kell tudni errol a temarol. Tiszta haszon nem?

Az alairas nem oncelu tevekenyseg. Celja az, hogy a masik fel meggyozodhessen az alairo szemelyerol. Ebben az esetben, a rendszergazda annak az alairasaval el vissza akievel akar, mivel az o kezeben levo eszkoz vegzi az alairast. Ne irjon helyettem ala.
Egyebkent pedig ne akarjon digitalis analfabeta szinten tartani. Ha szamara fontos a bizonyito erovel biro megszemelyesites, azonositas, bizalmassag, akkor ne ezek ellen hatva probalja meg azt elerni, hanem hozza fel a felszasznaloit a digitalis irastudas szintjere.

Na, itt azert van par tevedes. A legnagyobb, hogy "ilyet nem lehet csinalni". Ez nyilvanvaloan nem igaz, mert technikailag van ra lehetoseg, a kerdes (es az en eredeti kerdesem ez lett volna), hogy ez mennyire bejart, mennyire jarhato ut. TE inkabb arrol beszelsz, hogy ha meg is lehet, nem erdemes ilyet csinalni. Ebben reszben igazad van, de leirom, hogy miert erdemes megis:

- A felhasznalok jelentos reszenek fogalma sincs a digitalis alairasrol es nem is akarnak hallani rola(!), ok egyszeruen jobb helyzetbe kerulnenek mostani onmaguknal, ugy hogy kozben semmilyen kellemetlenseget nem tapasztalnak (szamukra barmilyen plusz munka, ujabb doksi, kor-email ilyen lenne)

- A digitalis alairas onmagaban meg nem bizonyit semmit. Ha te magad, a sajat gepeden vegezted el az alairast, akkor is lehet, hogy kozben pisztolyt tartottak a fejedhez, vagy valamilyen modon befolyasoltak a tudatodat.

- Ha egy ilyen modon (a postfix altal) alairt levellel hitelessegi gond merulne fel, akkor termeszetesen csak annyit allithatnank, hogy a szervert elhagyva a level nem modosult, de nem tudjuk 100%-ig, hogy a user, a rendszergazda vagy egy virus adta-e fel a levelet (ez utobbi mondjuk akkor is igaz, ha a user a sajat gepen ir ala). Minden ilyen eset tovabbi elemzest (pl logok) igenyel.

- Ha a felhasznalo a szerveren tartja a kulcsait, akkor ugye megint csak nincs megvedve a rendszergazdatol. Ennek ellenere azt is latni kell, hogy sokszor ez a biztonsagosabb. Vajon a userek 90%-anak mi a nagyobb kockazat? A rendszergazda hibaja/rosszakarasa, vagy a sajat desktop gepenek a megsemmisulese/osszevirusozodasa/feltorese?

Termeszetesen en ugy kepzeltem ezt, hogy a user kikapcsolhatja az automatikus alairast a postfix reszerol, ha pl sajat alairast hasznal (vagy akar ezt a postfix (vagy az azalotti szuro, vagy mittomen) erzekelhetne is). Tehat a power-user-ek, paranoiasok, tovabbra is hasznalhassak az altalad is emlitett -es elvileg- biztonsagosabb modot, de a tudatlan tobbseg ele probaljunk egy vekony szappanhartyat huzni pancelnak. ;)

Ugy latom nem jutunk dulore.
- kertel mar letezo hitelesito szolgaltatotol tanusitvanyt?
- kellet igazolnod magad? a tanusitott kulcsot birtoklo szemely, vagy szervezethez fuzodo viszonyod?
- ha a hozzad tartozo szervezet - ceg, domain - tagja lennek es elkerned a kulcsom, hogy ezentul majd alairsz vele; legkevesebb, hogy korberohognelek; de NEM adom oda. (szemely szerint a kulcsom nem a szerveren tartom, hanem kulcsgeneralo kriptoeszkozon)
- ha masoket sikerul megszerezned es azzal alairni, akkor ok veszelyeztetve erezhetik magukat es...
- nem csak ok, hanem mindeni aki veluk levelezesben all es a hitelessegukben bizik
- ertsd meg _technikailag_ lehetseges amit kivansz, de alaassa magaba a hitelesitesbe vetett bizalmat, ebbol kifolyolag jogilag ertelmezhetetlen
- ha valaki visszael a kulcsommal es a nevemben sikerul alairnia, akkor azt hitelesnek tekintik. Utana modomban all bizonyitani ha fegyverrel kenyszeritenenek, stb.
Vegkifejlet: mas ne irjon ala a nevemben.

Terjunk a technikai reszre:
Gondolkodtal mar azon vajon mit irsz ala a levelbol?
- csak a BODY: a hitelesseg csorbul, mivel a HEADERben levo technikai adatok modosulhatnak
- HEADER es BODY: mire megerkezik az alairas serulhet - ezaltal a level megy a kukaba -, mivel a kezbesitesben resztvevo szerverek hozzafuznek a headerhez (vagy elvesznek belole)
- CSATOLASOK egyenket: mi a helyzet pl. a word makrokkal? nem garantalt, hogy a fogado fel ugyanazt a dokumentumot lassa, mint a felado - egyszeru makroval elerheto, hogy egy ora mulva a szerzodesben mar mas szamok latszanak, mint a feladaskor ;-P Te pedig alairtad.(Nem, nem a felado irta ala, hanem Te - mar, ha ugy lesz belole)

( sany | 2006. 10. 13., p – 20:47 )

Kulcsszavak:
gnupg.org
Cacert.org

----------------------------------------------------------------
"A megoldas mindeki kerdesere egyszeru.
OLVASSATOK DOKUMENTACIOT!"
by thuglife

( sany | 2006. 10. 15., v – 13:21 )

http://www.cacert.org/index.php?id=0&lang=hu_HU

Azért adtam ezt a címet, mert itt kapsz hiteles
kulcsokat díjtalanul.

Megnézted?!

< 300 userre nem kevés pénzt takaríthasz meg!

----------------------------------------------------------------
"A megoldas mindeki kerdesere egyszeru.
OLVASSATOK DOKUMENTACIOT!"
by thuglife

( traktor | 2006. 10. 15., v – 15:19 )

Koszi a sok infot. Azt hittem kicsit egyszerubb/bejaratottabb dolog amit en akarok. Akkor ehhez majd meg egyszer veszek egy nagy levegot. :)

rka-nak igazavan az aláírással kapcsolatosan. Az is igaz, hogy egy felhasználót lehet kényszeríteni smtp auth-al az azonosításra. Ekkor meg kell vizsgálni mi történik egy kimenő levélle a postfix esetében. A levelet "sendmail"-el küldöd maildrop, majd a picup elkapja azt és megy a szokásos útján a címzetthez. Az internet felöl jövő leveleket az smtpd fogadja és ekkor van lehetőség filtereket közbeiktatni a bejövő levelek esetére (spam, vírus, stb.). A kimenő levelekhez szerintem szintén lehet ilyen "filter" megoldást kitalálni ahol a Te általad kódolt program manipulál a levéllel, teszem azt aláírja.
Az aláírás alapja pedig az smtp auth volt. Programozói véna és idő szükséges hozzá. Így működik a postfix. :)
covek@covek.hu

( sany | 2006. 10. 15., v – 23:49 )

A másik része a kódolt mail.
pl beérkezik a szerveredre, valahogy eléred hogy dekódolja, de ha az user ha kintről tölti le a mailt, már egy dekódolt levelet kap, ami esetleg fontos, bizalmas adatokat tartalmazó mail esetén nem éppen egészséges.
Jobb ezt az userre bízni!
Ha fontos neki a biztonság megtanulja, ha nem akkor lelke rajta!

----------------------------------------------------------------
"A megoldas mindeki kerdesere egyszeru.
OLVASSATOK DOKUMENTACIOT!"
by thuglife

Tanítani, tanítani, tanítani, tanulni!

Vagyis ha azt szeretnéd, h. a felhasználól tudják mi is az a digizálish aláírás, akkor tessék érthető doq-t kezükbe nyomni, és a postfixet úgy megprogramozni (én nem vagyok benne jártas), hogy a digitálisan aláíratlan leveleket ne kézbesítse!

Uff!
-TamsA-

( sany | 2006. 10. 16., h – 12:13 )

"hogy a digitálisan aláíratlan leveleket ne kézbesítse!"

A biztonságos levelezésről kell tartani pár előadást, bár lehet hogy ez sem lesz meggyőző! :)

----------------------------------------------------------------
"A megoldas mindeki kerdesere egyszeru.
OLVASSATOK DOKUMENTACIOT!"
by thuglife

( gthomas | 2006. 10. 27., p – 18:55 )

Most botlottam bele a Linux Magazine 2006 Februári számában:
GNU Anubis
gyakorlatilag egy mail proxy, ami pont azt csinálja, ami neked kell...