[Postfixbuch-users] PGP und S/MIME am äußeren MX

Michael Nausch michael at nausch.org
Do Mai 12 08:33:01 CEST 2011


Griasdebou!

Am 10.05.2011 19:35, schrieb Jan P. Kessler:

> Ich versuche es zur Abwechselung mal mit einer konkreten Antwort:

Wieso nur zur Abwechslung?

> - Keine Zusatzsoftware auf den PCs der Anwender erforderlich (sind hier
> einige zehntausend).

Wenn Du damit den internen Anwender meinst, stimme ich dir hier voll zu.
Ich gehe mal davon aus, dass Du mit AW den internen Anwender meinst und
nicht den Kunden, also den externen Anwender? Oder etwa doch?

> - Die AW müssen sich nicht mit Verschlüsselungsverfahren und
> Keymanagement auskennen ("welches Teil soll ich jetzt wohin schicken?
> wieso public und private? wieso braucht der was von MIR, damit ER
> verschlüsseln kann?" usw usf).

Meiner Erfahrung nach ist es zwingend notwendig, dass man sich mit dem
Thema grundlegend befasst um zu verstehen, was bei einer Verschlüsselung
passiert.

> man schläft auch besser, wenn ein Notebook abhanden kommt.

Die Platten sind verschlüsselt, also wenn da quasi (m)ein key abhanden
kommen sollte, ist das aus zweifachen Gründen wertlos. Einmal die
Plattenverschlüsselung und zweitens die passphrase.

> - Eine Z1 (und auch die meisten Alternativprodukte) erlaubt ja nicht nur
> PKI basierte Verfahren sondern kennt auch Alternativen für AW, die das
> nicht können. Stellt unsere Z1 beispielsweise fest, dass zu einem
> Partner kein Key vorliegt, die Policy aber Verschlüsselung vorgibt,
> hinterlegt sie die NAchricht automatisch in einem Webmailer bei uns
> (https natürlich).

O.K., das scheidet in meinen Fall hier aus, da es um geschäftsrelevante
eMails geht und da macht kein Businesskunde mit. Er ist ja verpflichtet
die Nachrichten bei sich zu archivieren und da scheidet ein Webmailer
grundsätzlich aus. Und bei meinen Anfragen, wurde mir _immer_ genannt,
dass jeder seine gewohnte Umgebung beibehalten und weiternutzen möchte.
Übertrieben gesagt: 27 Webmailaccounts zu bearbeiten, wer will/macht das
denn?

> - Zu guter letzt einer der meist-unterschätzten Vorteile: Das
> Keymanagement der externen Schlüssel.

Ja, das sehe ich klar als Vorteil, vor allem wenn es dann um das ganze
Handling mit den Rückrufzertifikaten & Co. geht.

> Sprich: Es gibt eine Reihe von guten Argumenten für ein solches System.

Sehe ich ähnlich, wenn ich mir die Rahmenbedingungen zur Terminierung
des Komunikationsendpunktes zum ent-/verschlüsseln ansehen.

> Es stünde der Liste gut zu Gesicht, wenn Ihr mal ein wenig reflektiert,
> bevor Ihr eine Idee mit ein paar lapidaren Sätzen verwerft. Nur so eine
> Anregung...

Aha, und was genau willst Du hiermit ausdrücken? Ich stehe da etwas auf
dem Schlauch? Wer verwirft hier was? Und was genau wäre die
Informationsklassifizierung "ein paar lapidaren Sätze"?

> - Zertificon Z1 http://www.zertificon.com/ (kennste ja schon)

ja

> - Totemo Trustmail http://www.totemo.ch/ (nicht ganz günstig, aber mit
> dem meiner Meinung nach besten Policy Editor)

O.K. werd' ich mir mal genauer ansehen, die anderen beiden auch. Wenn es
denn mal soweit ist, werde ich da wohl verstärkt einsteigen.

Bedanken möchte ich mich an dieser Stelle für Deine Ausführungen.

-- 
"Bonnie & Clyde der Postmaster-Szene!" approved by Postfix-God

http://wetterstation-pliening.info
http://dokuwiki.nausch.org
http://wiki.piratenpartei.de/Benutzer:Django



Mehr Informationen über die Mailingliste Postfixbuch-users