Biztonságos e-mail-ezés

Web, mail, IRC, IM, hálózatok

Sziasztok!

Egyik ügyfelemnél szeretnék minél biztonságosabbá tenni a az elektronikus levelezést. Most pop3-ssl és imap-ssl-el húzzák le a leveleiket, és sasl-al authentikálva küldik őket. Szeretnének ennél nagyobb biztonságot. Arra gondoltam, hogy valamelyik elismert tanúsítvány kiállítótól vennénk kulcsokat a kényes kliensek számára, és nem csak digitálisan aláírva, hanem kódolva küldenénk a leveleket. Mit szóltok ehhez? Tudom a másik félnek tudni kell visszakódolni és a freemail-es, gmail-es stb postafiókok nem biztos, hogy tudják majd. Szeretnék ötleteket kérni Tőletek, Ti, hogy oldanátok meg.

  • 1713 megtekintés

( zeller | 2009. 02. 02., h – 14:32 )

free/g/kutyafüle mail-es accountra digit. aláírandó és titkosítandó infót nem célszerű küldeni -- a webes felületen nem tudja a címzett kibontani (és ez így van jól), csak ha letölti és oboázik vele egy sort.

Ha a túloldal egy jól behatárolt kört jelent, akkor gpg-s megoldással lehet aláírt/titkosított fájlokat küldözgetni, egy fontos dolgot szem előtt tartva: legyen egy olyan kulcs, amivel minden titkosításra kerül, és aminek a passphrase-ét 2-3 ember írja be, azaz mindegyikük csak egy részét ismeri. Azt, hogy minden titkosításra került anyag ennek a "speciális" usernek is el legyen küldve megfelelően titkosítva, az érdekes feladat, de nem lehetetlen szerintem, meg kell nézni, hogy kliens-oldalon hogyan lehet ezt megcsinálni.

a webes felületen nem tudja a címzett kibontani (és ez így van jól), csak ha letölti és oboázik vele egy sort.

- Ez nem igaz. Van FireGPG.

(és ez így van jól)

- Ez sem igaz. Mi rossz van abban, ha temporary jelleggel dekódolja a levelet? A plaintextet nem menti el sehová.

szerk.: tény, hogy nem a legszerencsésebb megoldás fontos leveleket így kezelni, de tudod, hogy van ez: mindig vannak, akiknek a kényelem többet nyom a latba.

Magam a Thunderbird+Enigmail párosra esküszöm, nem is értem, hogy lehet webmailről levelezni. No de úgy látszik, sokan meg azt szeretik.

IEgpg van? OperaGPG van? Webmail-hez tehát akad egy olyan lehetőség, ami kizárólag egyféle böngészővel működik, és azzal is csak akkor, ha rávan tolva egy külön bedolgozómodul.

A webes mailboxnak egy előnye van: gyakorlatilag bárhonnan el lehet érni. (Meg az is előny, hogy nem kell mentéssel, spamszűréssel, vasbővítéssel és hasonlókkal foglalkozni.)

Éppen a remek addon-ok miatt a firefox az egyetlen használható böngésző IMHO. Akinek az ie jutott, annak úgysem ez lesz a legnagyobb baja! ;-)
De ha már firefox nincs, legalább egy thunderbird legyen, vagy Uram bocsá' egy outlook. Mazochistának nem kell lenni. A gpg elég jól támogatott, szinte mindenre van portja, frontend-je, plugin-ja, ami számít.
Nem olyan nagy dolog egy böngésző vagy mail kliens. Különcök persze mindig vannak, akiknek semmi nem felel meg, és a natívan BIOS-ba integrált böngészőjükkel akarnak webezni, de ez IMHO más lapra tartozik.

Jó jó tudom, most jön az a fejezet, hogy vannak azok a szegény ördögök, akikre a munkahelyük rájuk kényszeríti azt a szoftverkörnyezetet, ami épp szimpatikus a főnöknek, stb. stb.
Elegáns helyeken több böngészőt is telepít a rendszergazda, így mindenki azt indíthatja, amelyik neki szimpatikusabb.

Nem hiszem, hogy napjainkban ügyet kellene csinálni egy gpg-ből.
Sokkal fontosabb, hogy a rendszert használókat megfelelően tájékoztassák, rendelkezésükre álljanak a megfelelő ismeretek. Mert ugye a júzer szokott lenni az igazi gyenge láncszem.

Ebben igazad van. Sőt, elég szerencsétlen dolog is. Maga a webmail eleve egy elcseszett dolog. De látod, népszerű, mert sok embernek kényelmes. Pl. azoknak, akik valamilyen okból nem tudják mindenhol a saját notebookjukat használni. Ezt tiszteletben tartom.

Néhány hónapja okozott kisebb galibát, hogy az egyik ügyfelem (g)mailboxának tartalmához illetéktelenek hozzáfértek. Nem szeretném részletezni, elég annyi, hogy ha lett volna firegpg-je és vettük volna a fáradságot, ez megspórolható lett volna.

Értem, miről beszélsz, nem ellentmondani akarok. Engem az bosszant, hogy ma már szinte minden multiplatformos, minden minden alatt fut, minden mindent támogat (na jó, ez utóbbi talán kissé túlzás:)), mégis, néha a lehetetlennel határos vállalkozás megoldani olyan hétköznapi dolgokat, amiknek nem szabadna gondot jelenteni.

( janusz | 2009. 02. 02., h – 14:35 )

Ezekkel a webmail szolgaltatokkal csak akkor van gond, ha webrol akarjak nezegetni a leveleket. Ha letoltik imapon, pop3-on a leveleket valami emailklienssel akkor nagy problemat mar nem fog jelenteni a dolog.

Képzeld hozzá, hogy külső partner, saját IT-környezet, minimális plusz sz@rt akar fellapátolni a gépeire.

Én futottam ilyen köröket, akkor szerződés- és partneradatok, illetve nyomtatványrendelések mentek néhány partner felé, volt, ami automatizálva, volt, ami kézzel Outlook-ból. Ott az lett a megoldás, hogy mindenkinek a gpg-kulcsát legeneráltuk, kiosztottuk, és volt egy Outlook bedolgozómodul, amivel tudták kezelni a leveleket.

( uid_16401 | 2009. 02. 02., h – 15:57 )

A polysys.eu oldalon találsz megfelelő pl. "Crypto e-mail" alkalmazást. Az biztos hogy nem ingyenes, de még nem is 100.000Ft-os nagyságrendű, de professzionális megoldás. Ha pl. a Pentagonba kell akkor ez alkalmas megoldás lehet, ha meg nem akkor elég a TLS is.

( _Borisz_ | 2009. 02. 02., h – 18:54 )

Például GeoTrust My Credential, ez fizetős.
Ingyenes esetén Thawte vagy CAcert.org. Ezek esetén szükség lesz legalább 2 hitelesítőre, valamint a CAcert gyökértanúsítványát általában nem ismerik a levelező kliensek.
--
"my mind had skipped town and left me behind to pay the rent"

( sany | 2009. 02. 02., h – 21:58 )

" valamint a CAcert gyökértanúsítványát általában nem ismerik a levelező kliensek."

Az o/a sem "ismer" egyetlen hazai hitelesítőt sem.(ssl kapcsolat)
Lehet sokba kerülhet nemzetközileg ismert hitelesítőnek lenni!?

Traditionally vendors seeking to have their root certificates included in browsers (directly or via the underlying OS infrastructure like Safari via OS X's Keychain) would have to seek an expensive Webtrust audit (~$75,000 up-front plus ~$10,000 per year).(forrás)
--
"my mind had skipped town and left me behind to pay the rent"