[Postfixbuch-users] PGP und S/MIME am äußeren MX

Igor Sverkos igor.sverkos at googlemail.com
Di Mai 10 21:52:51 CEST 2011


Hallo,

Jan P. Kessler schrieb:
> - Richtlinien zur Verschlüsselung können an zentraler Stelle festgelegt
> werden (durch uns, die Admins). So geben wir zu bestimmten Partnern per
> Policy vor, dass jede Nachricht automatisch vom System verschlüsselt
> wird. Das schützt gegen das Vergessen durch den AW.

Verschlüsselt ihr an euren Ausgängen? Entschlüsselt ihr an euren Eingängen?

Habt ihr Richtlinien bzgl. Anhängen? Wenn ja, kann diese trotz der
Verschlüsselung erzwungen werden?


> - Sämtliche Schlüssel liegen an zentraler Stelle auf dem Gateway (durch
> ein HSM gesichert). Das erlaubt nicht nur ein einfaches Backup - man
> schläft auch besser, wenn ein Notebook abhanden kommt.

Die privaten Schlüssel auch? Wie wird denn sichergestellt, dass Hans
nicht als Peter zeichnen kann?

Könnt ihr Admins im Zweifel jede Nachricht öffnen?


> - Stellvertreterregelungen und die Bearbeitung von Gruppenbriefkästen
> bleiben möglich ohne dass man zig Keys an alle möglichen AW verteilen muss.

Kannst du dazu etwas im Detail sagen, wie das funktioniert? Der Sender
wählt ja bestimmt nur einen Key aus, für den er verschlüsselt... er wird
nichts von einem möglichen Stellvertreter wissen. Oder ist das eben kein
Problem, weil zentral am Eingang geöffnet wird?

> - Zu guter letzt einer der meist-unterschätzten Vorteile: Das
> Keymanagement der externen Schlüssel. Wenn Du zB mit a at b.de
> kommunizieren möchtest, benötigst Du ja den PublicKey von ihm. Den
> tauscht Ihr aus und es klappt. Jetzt möchte aber vll auch Dein Kollege
> mit a at b.de mailen - er muss den Key also wieder austauschen. Das ganze
> kannst Du ja nun mal auf mehrere tausend interne AW und externe Partner
> hochrechnen. Bei der Z1 wird der Key des Externen automatisch im
> Schlüsselspeicher hinterlegt und steht somit sofort allen internen AW
> zur Verfügung.

Klingt auf einer Seite gut. Aber besorgt sich das Teil automatisch den
Schlüssel? Wenn ja, worauf basiert die Vertrauenswürdigkeit? Das du der
verwendeten CA vertraust? Woher weiß Z1, woher er für a at b.de den Key
bekommt?

Klappt das Zusammenspiel nur, wenn alle Seiten bspw. auf Z1 setzen?
Liegen den Produkten Standards zu Grunde, damit ich bspw. auch mit einem
Partner zusammenarbeiten kann, der auf eine andere PKI-Lösung setzt?

Kannst du auch etwas zu der Unterstellung sagen, dass das nur eine teure
Transportsicherung ist und eigentlich nichts mit echter End-to-End
Kommunikation zu tun hat?

Ansonsten war das bislang sehr interessant zu lesen. Vielen Dank für die
Links.


-- 
Ich Grüße,
Igor



Mehr Informationen über die Mailingliste Postfixbuch-users