E-Mail Verschlüsselung für mehr als 2000 Rechner

[Gast K!k3i]

Hallo liebe Fachinformatiker,

ich bin aktuell auf der Suche nach einem "Programm" welches mir ermöglicht mit einer asymetrischen Verschlüsselung E-Mails End-to-End zu verschlüsseln. Eine Verschlüsselung ab dem Mail Gateway fällt komplett weg, da sehr viele E-Mails intern verschickt werden und bereits hier eine möglichst sichere Verschlüsselung nötig ist.

Anforderungen:

- installierbar über zentrale Softwareverteilung (msi installer z.B.) - DX Union

- asymetrische Verschlüsselung, da symetrisch zu unsicher

- einfache Integration in Outlook

- Verwaltung für über 2000 Rechner im Netzwerk möglichst "einfach" bzw. Zentral

Da ich schon seit einiger Zeit google knechte, habe ich bisher folgende Programme gefunden (Preis ist "egal", da es ein "Unternehmen" ist )

- Sophos SafeGuard (je nach Versionen und Programmen brauchbar - leider zu wenig Info's über Funktionsweiße

- PGP Universal Server + PGP Client Software (wahrscheinlich Software Paket Desktop Professional)

- GPG4Win - Wie kann hier für über 2000 Rechner automatisiert installiert werden? Eine Anleitung für die User, wie das Zertifikat eingerichtet wird etc. fällt weg. Eine "manuelle" Installation über Remote Desktop fällt bei über 2000 Clienten ebenfalls weg. Eine Möglichkeit wäre das automatische Erstellen passender msi Pakete für alle 2000 Rechner = 2000 Pakete, blos wie werden diese an die richtigen Rechner verteilt?

Wie man sieht Probleme über Probleme. Wie alle diese Programme mit DX-Union zusammenarbeiten, weiß ich leider nicht. Die DX-Union "Abteilung" hier, hat sofern ich das richtig weiß, auch keine Erfahrung mit PGP, GPG usw.

Wäre echt nett, wenn einer von euch (am besten mit Erfahrung in dem Bereich) etwas dazu schreiben könnte.

PS: Wie ist das bei PGP mit den Lizensen? Im OnlineShop steht etwas von "unbegrenzt" für ca. 180€ (je nach Version mehr oder weniger). Für wie viele Clienten ist dies?

Dankeschön schonmal im Voraus

[bigvic]

Hast du Exchange (da du outlook erwähnst)? Wenn ja, ist da nicht so eine Funktionen schon integriert? Implementing Email Security with Exchange Server 2003

Ich kenne mich mit Exchange überhaupt nicht aus, aber kann mir kaum vorstellen, dass man da mit Drittherstellern arbeiten muss.

Edit: Eine Verschlüsselung jeglichen Emailverkehrs vom Client zum Exchange ist denke ich jetzt schon standard, falls es dir Sorge bereitet, dass erst der Exchange verschlüsstelt.

Bearbeitet 9. August 2010 von bigvic

[lupo49]

- asymetrische Verschlüsselung, da symetrisch zu unsicher

Die Standards PGP und S/MIME arbeiten alle hybridmäßig. Die E-Mail werden mit einem zufälligen symmetrischen Schlüssel verschlüsselt, der vorher über die asymmetrische Verschlüsselung auf beiden Seiten bekannt gemacht wird. Das die symmetrische Verschlüsselung zu unsicher ist, ist doch Quatsch. Lediglich der Schlüsselaustausch muss hier sensibler vonstatten gehen.

- einfache Integration in Outlook

S/MIME ist bei Outlook zu bevorzugen. Das ist schon fest in Outlook implementiert und funktioniert mehr oder weniger gut. Für PGP müssen in jedem Fall Addons nachinstalliert werden.

- GPG4Win - Wie kann hier für über 2000 Rechner automatisiert installiert werden?

Das würde ich nicht mal im privaten Bereich einsetzen. Das GPGOL-Addon sorgt dafür, dass Outlook langsamer startet und gerne auch mal hängt. Des Weiteren ist das für den unerfahrenen Benutzer nicht komfortabel und nicht einfach zu verwalten. Das Produkt an sich hat m.M.n. auch gar nicht den Anspruch in einer so großen Enterprise-Umgebung zu "dienen".

PS: Wie ist das bei PGP mit den Lizensen? Im OnlineShop steht etwas von "unbegrenzt" für ca. 180€ (je nach Version mehr oder weniger). Für wie viele Clienten ist dies?

PGP lizenziert nach Clients in Staffelform (umso mehr Clients, umso günstiger wird es pro Client). Bei so einer großen Anzahl wie du sie hast, würde ich direkt dort anrufen und nach einem Angebot fragen.

Bevor du hier anfängst irgendwelche Produkte anzufragen, würde ich mich zunächst mit den gängigen Verschlüsselungstechnologien (S/MIME und PGP) auseinandersetzen. Da gibt es nämliche gravierende Unterschiede bzw. Vor-/Nachteile, die zu beachten sind. Die Benutzung von bspw. S/MIME zieht noch einen langen Rattenschwanz an Arbeit/Kosten mit sich, wie z.B. eine PKI, Zertifikatsgenerierung für jeden Anwender oder ggf. Kosten für nicht-selbstsignierte Zertifikate. Es muss auch beachtet werden, ob zukünftig mit externen Unternehmen verschlüsselt kommuniziert werden soll.

Bearbeitet 9. August 2010 von lupo49

[Gast K!k3i]

Das S/Mime wohl sehr aufwändig ist, habe ich bereits gelesen.

Habe heute den gesamten Tag mit GnuPG rumprobiert, welches hier teilweiße schon genutzt wird. Die Integration in Outlook ist echt d*mlich, da nur Outlook 2000 verwendet wird. Für diese Variante wäre dann nur das GData Plugin möglich.

Ansich keine so schlechte Lösung, einziges Problem aktuell, wie wird für solch eine Zahl von Clienten das Keypaar generiert? Listen mit Namen, Email und selbst gesetzten Passwörtern könnten ja erstellt werden, doch finde ich aktuell keine möglichkeit das ganze automatisiert erstellen zu lassen. Selbst wenn ich gpg starte (Kommandozeile) und per --gen-key einen Keypaar erstelle, funktioniert dies zwar, aber für 2000 Clienten Manuell - unmöglich.

Kann ich diese Abfragen nach Email, Namen, Keylänge usw. umgehen und gleich mit als "Option" in dem Aufruf der CMD angeben, bsp. so:

gpg --gen-key 1 4098 0 j VornameNachname email@provider.tld nocomment Passwort F

Dies ist die Reihenfolge der Abfrage beim generieren eines Keypaar. Entschuldigt bitte, ich kenn mich mit Batch Anwendungen nicht wirklich aus und weiß von daher nicht, ob ich eine Abfrage umgehen kann oder diese automatisch ausfüllen kann, ich kann leider nur C# und PHP...

[lupo49]

Das was du vorhast ist nur eine Frickellösung für eine 10-Mann-Betrieb. Das wird den Chef hoffentlich nicht so abzeichnen.

Du hast immer noch nicht geschrieben, welche Verschlüsselungsart primär eingesetzt werden soll. (S/MIME geht auch mit GPG4Win.)

Wie willst du denn bspw. einen Schlüssel/Zertifikat für einen externen Verschlüsselungspartner automatisiert an 2000 Clients verteilen? Wie verteilst du Verschlüsselungsrichtlinien? Was ist, wenn das GPG4Win mit der nächsten Outlook-Version nicht mehr funktioniert?

[Gast K!k3i]

Das sind "Dinge" um die ich mir keine Sorgen machen muss - Praktika. Ich soll einfach nur eine simple Lösung finden und hab auch erstaunt gefragt wie das dann mit den Public Keys ablaufen soll. Ich soll in Richtung PGP/GPG recherchieren und die Public Zertifikate sollen dann als Anhang geschickt werden :confused:

Eine Lösung wie man die Schlüsselpaare automatisiert erstellen kann, hab ich gefunden. einfach noch ein "-batch" dahinter und es geht.

Diese Einrichtung, hat ein eigenes Netz (Standortübergreifend), nach "außen" gehen extrem wenig Mails, zumindest laut meinem "Chef".

Die Integration in Outlook 2000 funktioniert eh nur über ein GData Plugin für GnuPG, wahrscheinlich braucht man dann noch ein Batchsript, welches die Schlüsselpaare in das richtige Verzeichnis verschiebt für dieses fast 10 Jahre alte Plugin :upps

Eine ordentliche Lösung, wäre meiner Meinung nach noch Sophos SafeGuard. Denn da können Leute, welche bereits OpenGPG einsetzen auch auf diese Mails zugreifen. Außerdem hat das ganze einen Keyserver für S/Mime und OpenPGP. Die Installation über diese Anzahl von Clienten würde ebenfalls ordentlich gehen.

Bearbeitet 9. August 2010 von K!k3i

[lupo49]

Ich soll einfach nur eine simple Lösung finden und hab auch erstaunt gefragt wie das dann mit den Public Keys ablaufen soll. Ich soll in Richtung PGP/GPG recherchieren und die Public Zertifikate sollen dann als Anhang geschickt werden :confused:

Was für Zertifikate?

Die Integration in Outlook 2000 funktioniert eh nur über ein GData Plugin für GnuPG, wahrscheinlich braucht man dann noch ein Batchsript, welches die Schlüsselpaare in das richtige Verzeichnis verschiebt für dieses fast 10 Jahre alte Plugin :upps

Wieso möchtest du überhaupt die Schlüsselpaare automatisch erstellen? Dadurch wird implizit gesagt, dass die Passphrases für den Private Key nicht nur dem Anwender bekannt ist, sondern auch den Administratoren. In dem Szenario ist dann auch keine "korrekte" End-to-End-Verschlüsselung mehr gegeben.

[Gast K!k3i]

Ich meinte nicht Zertifikate sondern Keys. :upps Sorry. Ich belese mach seit 3 Tagen mit Verschlüsselung im Bereich von Emails. Kenne mich nur mit Transportverschlüsselung (SFTP, FTPS usw.) aus und mit https also SSL, TLS (und SSH). Außerdem halt noch Verschlüsselung für Festplatten oder andere Speichermedien.

Das stimmt mit den Passwörtern. Naja, ich konnte meinen "Chef" davon überzeugen, dass es besser ist eine ordentliche Software zu kaufen, welche von einigen großen Unternehmen eingesetzt wird. Ich habe nun diese Aufgabe als Projekt bekommen. Werde halt noch etwas mehr vergleichen und lesen, lesen und lesen... Er hatte sich selber einmal kurz mit Sophos MailGateway befasst, doch hat viel zu viel anderes zu tun. Ich bekomme höchstwahrscheinlich eine Trial Version gestellt um zu testen, ob das zu unserer Softwareverteilung kompatibel ist, wie die Administration ist und ob es einfach für den Endanwender ist. Interessant an Sophos ist, dass es mit S/MIME und OpenPGP kompatibel ist, also könnten Mitarbeiter welche bereits S/Mime einsetzen oder GPG bzw. PGP leichter eingebunden werden. Sophos bietet anscheinend auch gute "Schnittstellen" für externe Partner. Das Problem mit dem Schlüsselpaar ist auch einfacher integriert.

Laut Sophos ist das Programm Mailclient unabhängig :eek . Wie das realisiert wurde, muss ich mir allerdings noch genau angucken, damit es später (wie Du schon gesagt hast) bei einem eventuell anderem Emailclient keine Probleme gibt.

Bearbeitet 10. August 2010 von K!k3i

[Kanupke]

Ist zwar schon ein paar Tage alt, aber in short

Windows Server / Exchange / Zertifikatsstelle, fertig

a) kann mit CSPs beliebig aufgeruestet werden

kommt ohne "nuetzliche" Programme aus, die Funktionen nachruesten, die schon da sind

c) kann sogar mit Smartcards

bei 2k Clients sollt man von vorhandener Struktur ausgehen koennen.

Diese zu nutzen macht den Admin aus!

Darf Alles nichts mehr kosten, dann empfehle ich Konkurs anzumelden. :cool:

[guescho]

Hallo, der Post ist nun schon ein Jahr alt ! Mich würde interessieren, wie das Thema schließlich ausgegangen ist ?

[Guybrush Threepwood]

Ich tippe mal auf schlecht

[SilentDemise]

das würde ich auch sagen.