|
010 | Benötigt der Empfänger auch CompanyCrypt, damit ich ihm verschlüsselte eMails schicken kann?
Nein. (Obwohl wir dass natürlich nur empfehlen können).
Der externe Partner, kann sowohl Client-Erweiterungen (PGP-Coorperation, GnuPG,..) einsetzten, als auch serverbasierte Systeme (Lotus Notes, PGP Universal, ...) verwenden. Ausschlaggebend ist, das verschlüsselte eMails den dazu gültigen RFCs entsprechen.
|
|
020 | Kann ich dann meinen ganzen eMail-Verkehr verschlüsseln?
Theoretisch Ja, Realistisch wohl kaum. Dazu muss jeder externe Partner technisch in der Lage sein alle Nachrichten zu ver- und entschlüsseln. Dies wird in naher Zukunft kaum Realität werden. Zudem wäre ein enorme Schlüsselverwaltung erforderlich. Der tatsächliche Bedarf richtet sich nach den schützenswerten eMail und die machen im Schnitt etwa 1% des Nachrichten-Volumens aus.
|
|
030 | Kann ich als Anwender die Verschlüsselung steuern?
Hierfür wurden in CompanyCRYPT (ab v1.2.1) zwei zentrale Funktionen eingebaut, die von Administrator "freigeschaltet" werden:per Schlüsselwort im Betreff kann die Signierung und/oder Verschlüsselung verhindert werden. Dies ist immer dann praktisch, wenn ausgehende eMails grundsätzlich signiert werden; ein externen Empfänger diese aber aufgrund der Signatur nicht empfangen kann.Aktivierung der Signierung und/oder Verschlüsselung per Schlüsselwort im Betreff. Diese Möglichkeit sollte aber mit Umsicht und Blick für die realistischen Möglichkeiten eingesetzt werden, da für den erfolgreichen Einsatz immer der Schlüssel des Empfängers vorliegen und als vertrauenswürdig deklariert sein muss.
|
|
040 | Kann ich auch verschlüsselte Nachrichten an mehrere Empfänger schicken?
Ja. Für jeden Empfänger, für den ein gültiger Schlüssel vorliegt wird die Nachricht verschlüsselt. Alle anderen erhalten die Nachricht im Klartext.
Hintergrund: der MIMEsweeper erzeugt automatisch Kopien einer eMail, wenn unterschiedliche Policies (Verschlüsselt/Klartext-Übertragung) zutreffen.
|
|
050 | Müssen meine externen Partner nun jede E-Mail verschlüsseln?
Nein. Dies entscheidet der Partner nach seinem Ermessen. Verschlüsselte E-Mails werden entschlüsselt. Klartext-Nachrichten werden unverändert zugestellt.
|
|
060 | Muss der Anwender beim Versand angeben mit welcher Methode (PGP/SMIME) verschlüsselt werden soll?
Nein. Dies geschieht automatisch in Abhängigkeit des Empfängers. Dieser nennt bei der Einrichtung die bevorzugte Methode, welche dann durch den Administrator hinterlegt wird.
|
|
070 | Muss der interne Anwender etwas beachten?
Nein. Er benutzt seinen eMail-Client wie bisher. Je nach Konfiguration am MAILsweeper erscheinen neue Bestätigungen und Hinweise über die Ver- und Entschlüsselung.
|
|
080 | Muss ich an meinem MIMEsweeper etwas ändern?
Technisch Nein. Konfiguration Ja. Die Funktionalität wird durch Aufruf der CompanyCRYPT, GnuPG und OpenSSL Executables erbracht. Diese residieren neben den MIMEsweeper-System-Dateien. Der Aufruf selbst wird durch Policies (Adresslisten, Szenarios, Classifications) durchgeführt. Dies müssen naturgemäß an die Unternehmensbedürfnisse angepasst werden.
|
|
090 | Was muss ich haben um die Lösung einsetzten zu können?
Zunächst müssen die Daten die per eMail über das Internet übertragen werden schützenswert sein. Darauf aufbauend sind folgende Parameter wichtigEin MIMEsweeper ab Version 4x oder 5.xExterne Partner, mit denen Sie verschlüsselt kommunizieren wollen oder müssenEine Administrator, der die Systemerweiterung betreuen kann (oder per Wartungszugang über einen externen Dienstleister)
|
|
100 | Was muss ich mir unter CompanyCRYPT vorstellen?
Es ist eine Funktionserweiterung des Content-Scan-Systems MIMEsweeper, um die Funktionalität des Ver- und Entschlüsselns von eMails unter Beibehaltung der Inhaltsüberprüfung. Die eigentliche Datenverschlüsselung wird durch die OpenSource-Programme GnuPG (www.gnupg.org) und OpenSSL (www.openssl.org) erbracht.
|
|
110 | Werden alle verschlüsselten E-Mails für mich entschlüsselt?
Fast alle. Die Nachrichten, die mit ihren öffentlichen Schlüssel (durch den Administrator erhältlich) verschlüsselt wurden, werden für Sie entschlüsselt. Für alle anderen verschlüsselten Nachricht kann keine Inhaltsüberprüfung durchgeführt werden. Diese werden ihnen nicht zugestellt.
|
|
120 | Wie stark ist die Verschlüsselung?
Die Methoden S/MIME und PGP sind weltweit anerkannte Systeme zu Schutz von elektronischen Daten. Die größten Sicherheitsproblem bei beiden Systeme stellt typischerweise das Verhalten des Anwenders dar. Dies wird durch den zentralen Ansatz von CompanyCRYPT verlässlich entschärft.
|
|
130 | Werden auch Dateianhänge verschlüsselt bzw. entschlüsselt?
JA, ohne Rücksicht auf Typ oder Anzahl, sowohl ein- als auch ausgehend.
|
|
140 | Werden E-Mails auch innerhalb des Unternehmens verschlüsselt?
Jain. Es werden grundsätzlich Nachrichten in das Internet verschlüsselt bzw. aus dem Internet entschlüsselt. Dies schließt den Nachrichtenverkehr innerhalb einer Groupware aus. CompanyCRYPT ermöglicht aber eine Site-To-Site-Verschlüsselung. Wenn ihr Unternehmen mehrere eMaildomänen an verschiedenen Standorten umfasst, kann dieser Nachrichtenaustausch mit einem Schlüssel geschützt werden. Dies wird dann bei Kunden normalerweise transparent für den User (ohne Hinweise und Bestätigungen) eingerichtet.
|
|
150 | Wie funktioniert das im MIMEsweeper?
Der eigentliche Prozess des Entschlüsselns wird in der Weise durchgeführt, die dem Clean-Vorgang einer Virus Mail entspricht (Grundfunktionalität des MIMEsweeper). Übersetzt läuft es etwa so: Erkennung nach Pattern (Binär oder durch Decrypt Versuch) und ggf. Säuberung = Entschlüsselung. Ausgehende eMails werden entsprechend der Policies ohne Rücksicht auf den Inhalt verschlüsselt.
|
|
160 | Woher beziehe ich das Schlüsselmaterial?
Alle Schlüssel können selbst erstellt werden. Ebenso ist die Nutzung vorhandener Schlüssel (sofern in Dateiform und mit Passphrase verfügbar) möglich.
|
|
170 | Woran merke ich, dass die Nachricht an meinem externen Partner verschlüsselt geschickt wurde?
Durch den Administrator wird typischerweise eine Verschlüsselungsbestätigung (Bestätigungs-eMail) eingerichtet.
|
|
180 | Woran merke ich, dass ich eine verschlüsselte Nachricht erhalten habe?
Als Standard wird eine Entschlüsselungs-Zusammenfassung am Anfang des Textes hinzugefügt. Diese kann aber bei Bedarf durch Konfigurationseinstellungen unterdrückt werden.
|
|
190 | CompanyCRYPT unterstützt PGP und S/MIME. Ich will aber nur eine Methode einsetzen. Geht das?
Technisch haben wir solche Enable/Disable Funktionen integriert. CompanyCRYPT ignoriert dann die entsprechende Methode bei eingehenden eMails. Die ausgehende Methode wird ohnehin vom Administrator bestimmt.
In der Praxis ist es aber so, dass man eMail einsetzt um mit möglichst vielen Leuten unkompliziert zu kommunizieren. Mit PGP oder S/MIME können Sie dies auch vertraulich und gesichert tun. Da beide Seiten etwas tun müssen (Schlüssel generieren, Austausch, Software), um die Methoden anwenden zu können, sollte der unkomplizierte Charakter nicht weiter an reduziert werden indem nur eine Methode möglich ist. Treffen Sie die Entscheidung, nur eine Methode zu zulassen, dann sind Sie entweder in der entsprechenden Position, oder nehmen kompliziertere Wege im Umgang mit externen Partnern in Kauf.
|
|
200 | Ich habe ein verteiltes System (ein PCS mit mehreren PS). Ist das ein Problem? Wo liegen denn dann die Schlüssel?
Kein Problem. Auf jedem PS wird ein CompanyCRYPT installiert. Danach wählen Sie ein System als "Master" und verwalten nur noch dieses. Die anderen Installation setzten Sie in einen Slave Modus und stellen ein wo der Master ist. Von da an tritt eine vollautomatische Synchronisation in Kraft, die Schlüsselmaterial und Konfiguration umfasst. Administriert wird nur noch auf dem Master System.
|
|
210 | PGP oder S/MIME? Fall 1: Ich möchte in Zukunft eine gesicherte Verbindung zu meinem externen Partner haben.
Fragen Sie zunächst den externen Partner, welche Methode er bevorzugt, oder vielleicht schon bei sich vorbereitet hat:Er hat sich bereits entschieden. In Ordnung, nehmen Sie seinen Schlüssel und richten Sie die Verbindung ein. Im Grunde genommen kann es Ihnen bei CompanyCRYPT egal sein was er will.Er hat sich noch nicht entschieden. Dann machen Sie Ihn auf folgende Aspekte aufmerksam:Offizielle (Trustcenter-beglaubigte) S/MIME Schlüssel kosten Geld und sind üblicherweise nur 1 Jahr gültig.Sollte er bei sich kein Verschlüsselungs-Gateway haben, ist es nur mit PGP möglich eine sogenannte Site-To-Site Verbindung einzurichten. D.h. die Nachrichten an Ihn und seine Mitarbeiter, sowie umgekehrt an Sie und ihre Mitarbeiter werden über ein einziges Schlüsselpaar geschützt. Das macht die Schüsselverwaltung (vor allem in der Zukunft) viel einfacher.
|
|
220 | PGP oder S/MIME? Fall 2: Was ist den besser?
Diese Frage muss jeder für sich aus der Summe der für Ihn zutreffenden Aspekte beantworten. Vielleicht helfen Ihnen aber folgende Fakten bei einer Entscheidungsfindung:Das haben PGP und S/MIME gemeinsam:PGP und S/MIME sind gleichermaßen geeignet eMails sicher zu Verschlüsseln. Es werden nahezu die gleichen Algorithmen und Schlüssellängen verwendet.Beide Verfahren sind (technisch) anerkannt sicher (BSI).Das ist typisch für PGP:Im deutschsprachigen Raum verwendet mindestens 3 von 4 Anwender PGP.In Bezug auf Verschlüsselung sind PGP-Clients flexibler und verschlüsseln auch für eine Firmenschlüssel, dessen Adresse nicht mit der Adresse des Empfängers übereinstimmt.PGP erfordert extra Software beim externen Partner (ist aber kostenfrei verfügbar)PGP Schlüssel können mehrere "Beglaubigungen" tragen und sind kostenfrei.PGP Keyserver helfen nicht herauszufinden, ob eine Schlüssel tatsächlich einer bestimmten Person gehört (Keine Trustcenter-Funktion).Das ist typisch für S/MIME:S/MIME ist besser geeignet wenn (insbesondere gesetzliche qualifizierte) Signaturen wichtig sind.S/MIME ist praktisch in jedem eMail Client integriert. Der externe Partner muss nichts installieren.S/MIME Clients unterstützen keine Firmenschlüssel und verursachen damit schnell eine umfangreiche Schlüsselverwaltung. Hintergrund: Wenn der externe Partner an Sie eine Nachricht verschlüsseln möchte, kann er mit keinem derzeit verfügbaren Client ihren Firmen-Schlüssel verwenden; er braucht für jede Zieladresse einen passenden Schlüssel von Ihnen. (Sie haben dann den Aufwand).(Trustcenter-beglaubigtes) S/MIME Schlüsselmaterial kostet Geld. Die Schlüssel sind aber auch bis zu einem bestimmten Grad vertrauenswürdig, da das Trustcenter (je nach Zertifizierungsgrad) die Identitätsprüfung übernommen hat.
|