Damit geht der Nutzen flöten

Die Zertifikate sind doch gerade dazu gut, genau wissen zu können, dass eine bestimmte Person mir irgendwelche Daten geschickt hat.

Wenn die Signatur erst nachträglich hinzugefügt wird, so legen die Daten im Unternehmensnetz dabei unsigniert eine gewisse Strecke zurück und können dabei einfach modifiziert werden.

Das funktioniert also genau so lange, wie sich im Unternehmensnetz niemand aufhalten kann, der böse Absichten hat. Ansonsten wäre es damit theoretisch möglich, mal eben eine Mail im Namen des CEO abzusetzen, die dann auch noch digital signiert ist. Na Prost Mahlzeit.

Das stimmt - aber das ist ja offenbar gar nicht das Ziel der Software: Die soll nur Außenstehenden (dem Bürger) signalisieren, daß die Mail tatsächlich von der Institution (der Stadt) kommt. Nicht mehr und nicht weniger.

Sinn und Zweck von: "Domain Key Identified Mail" ist dann welcher?

DKIM ist was ganz anderes und wird übrigens auch erst vom sendenden MX hinzugefügt.

Bei DKIM wird der öffentliche Schlüssel im DNS hinterlegt, bei S/MIME wird's in die Mail gepackt.

aahhhhhhja schrieb:
--------------------------------------------------------------------------------
> Die Zertifikate sind doch gerade dazu gut, genau wissen zu können, dass
> eine bestimmte Person mir irgendwelche Daten geschickt hat.
>
> Wenn die Signatur erst nachträglich hinzugefügt wird, so legen die Daten im
> Unternehmensnetz dabei unsigniert eine gewisse Strecke zurück und können
> dabei einfach modifiziert werden.
>
> Das funktioniert also genau so lange, wie sich im Unternehmensnetz niemand
> aufhalten kann, der böse Absichten hat. Ansonsten wäre es damit theoretisch
> möglich, mal eben eine Mail im Namen des CEO abzusetzen, die dann auch noch
> digital signiert ist. Na Prost Mahlzeit.


ich weiss ja nicht aber dieses 'kann im unternehmensnetz ganz einfach modifizert werden' ist bestenfalls blauäugig. ist schon in einem geswitchten netzwerk soooo einfach nicht.

hält ja niemanden auf auch intern TLS zu verwenden und SMTP AUTH. Dann wirds mit dem 'einfach' modifizieren so ne Sache.

Und Unternehmen denken nicht in Personen sondern in Rollen. Der CEO hat eventuell einen Stellvertreter. Der soll doch dieselbe Signatur verwenden. Und der neue CEO genauso. Ist ja dieselbe 'Person' mit der man von extern zu tun hat. Oder soll man von extern immer mal wieder Signaturen verifizieren?

Auch wird das Backup so einfacher wenn nicht Client-Seitig signiert / Verschlüsselt wird sondern Zentral.

Und überhaupt erklär du mal einem Buchhalter GPG oder sowas... der Schulungs- und Support-Aufwand ist riesig.

Ich find das ne prima Sache!

Genau das ist es, die Verschlüsselungstechniken sind halt viel zu undurchschaubar für Anwender, so dass eine Signatur und Verschlüsselungslösung am Gateway im Moment wohl der beste Weg ist, Sicherheit und Datenschutz zu erhöhen. Nach der Machart gibt es ja einige Lösung wie z.b. unser enQsig (allerdings für Windows Server)

Verschlüsselte E-Mails im Unternehmen sind auch eher nachteilig, da sie z.b. nicht auf Viren gescannt oder von Stellvertretern gelesen werden können. Auch der Verlustt eines private Keys oder das Ausscheiden eines Mitarbeiters kann die Mails für immer unlesebar machen. (Die Keys sind übrigens an Personen und nicht Rollen gebunden, denn in dem Zertifikat steht die E-Mail Adresse des Absenders oder des Gateways und nicht "CEO von Müller GmbH".

Generell kann ich nur dazu ermuntern immer mehr Mails zu signieren, nur so kommen wir auch zu einer handhabbaren Infrastrukur für Verschlüsselung.