[Postfixbuch-users] PGP und S/MIME am äußeren MX

[Jan P. Kessler]

Servus,

>> Ich versuche es zur Abwechselung mal mit einer konkreten Antwort:
> Wieso nur zur Abwechslung?

Weil man hier manchmal auf eine konkrete Frage eine abschweifende
Antwort erhält. Ich kann mich irren und bin sicher auch gegen Maulkörbe
oder Denkverbote. Wenn mich aber jemand nach konkreten Erfahrungen mit
bestimmten Produkten fragt und die Antworten sich auf das prinzipielle
Ablehnen der Technologie beziehen, halte ich das für nicht so furchtbar
hilfreich. Wobei ich allerdings auch jedem zustimme, der mir nun
entgegnet, dass es aber auch wichtig ist, über den Tellerrand zu schauen.

Nimm's als Floskel ;)

>> - Keine Zusatzsoftware auf den PCs der Anwender erforderlich (sind hier
>> einige zehntausend).
> Wenn Du damit den internen Anwender meinst, stimme ich dir hier voll zu.

Jep. Zur Vereinfachung spreche ich bei den Zugehörigen des eigenen
Unternehmens (bzw einem von uns betreuten) von "MA" oder "AW" und bei
den Externen von "Partnern".

>> - Die AW müssen sich nicht mit Verschlüsselungsverfahren und
>> Keymanagement auskennen ("welches Teil soll ich jetzt wohin schicken?
>> wieso public und private? wieso braucht der was von MIR, damit ER
>> verschlüsseln kann?" usw usf).
> Meiner Erfahrung nach ist es zwingend notwendig, dass man sich mit dem
> Thema grundlegend befasst um zu verstehen, was bei einer Verschlüsselung
> passiert.

Ich will einen Job bei Euch ;)  Ohne jetzt zu sehr ins Detail zu gehen:
Wir betreuen Kunden aus dem Umfeld großer Banken und Versicherungen mit
tausenden, bundesweit verteilt sitzenden MA. Die samt und sonders zu
schulen halte ich für unrealistisch - nicht nur, weil dazu Personal und
Geld fehlt. Viel wichtiger ist, dass die das größtenteils auch gar nicht
wissen wollen. Die haben andere Aufgaben (u.a. mein Gehalt zu
erwirtschaften).

Glaub' mir, wenn ich schreibe, dass ich mir auch mehr Verständnis für
unsere Anliegen wünschen würde (wir betreiben ja auch Firewalls,
Proxies, IDS/IDP, usw). Würde mein Leben oft einfacher machen. Das ist
aber in der Praxis nicht durchzusetzen - jdf bei uns.

>> man schläft auch besser, wenn ein Notebook abhanden kommt.
> Die Platten sind verschlüsselt, also wenn da quasi (m)ein key abhanden
> kommen sollte, ist das aus zweifachen Gründen wertlos. Einmal die
> Plattenverschlüsselung und zweitens die passphrase.

Ja, der Widerspruch ist mir beim Schreiben auch aufgefallen. Klar, die
Keys würden natürlich ebenfalls auf der verschlüsselten Platte liegen.
Pennen kann ich also in jedem Fall ;-)

>> - Eine Z1 (und auch die meisten Alternativprodukte) erlaubt ja nicht nur
>> PKI basierte Verfahren sondern kennt auch Alternativen für AW, die das
>> nicht können. Stellt unsere Z1 beispielsweise fest, dass zu einem
>> Partner kein Key vorliegt, die Policy aber Verschlüsselung vorgibt,
>> hinterlegt sie die NAchricht automatisch in einem Webmailer bei uns
>> (https natürlich).
> O.K., das scheidet in meinen Fall hier aus, da es um geschäftsrelevante
> eMails geht und da macht kein Businesskunde mit. Er ist ja verpflichtet
> die Nachrichten bei sich zu archivieren und da scheidet ein Webmailer
> grundsätzlich aus. Und bei meinen Anfragen, wurde mir _immer_ genannt,
> dass jeder seine gewohnte Umgebung beibehalten und weiternutzen möchte.
> Übertrieben gesagt: 27 Webmailaccounts zu bearbeiten, wer will/macht das
> denn?

Korrekt. Daher gibt es ja auch die zweite Alternative per
verschlüsseltem PDF. Da kommt alles in der Mailbox des Partners an. Btw
erlaubt aber auch der Webmailer ein Exportieren der Mails im EML oder im
MSG Format. Diese Alternativerfahren sind auch eher für kleine
Gutachterbüros, Kanzleien oder Endkunden gedacht. Im B2B Umfeld kommen
bei uns vorwiegend TLS, S/Mime, PGP, VPNs oder DDVs zum Einsatz. Die
beiden letzten Verfahren allerdings nur ungern und idR nur dann, wenn
auch auch andere Verbindungen den Einsatz einer solchen Netzkopplung
erfordern. Das Problem liegt nämlich darin, dass man manuell routen
muss, was grundsätzlich beim nächsten Umzug auf Partnerseite knallt. So
etwas wird nämlich gerne vergessen.

>> - Zu guter letzt einer der meist-unterschätzten Vorteile: Das
>> Keymanagement der externen Schlüssel.
> Ja, das sehe ich klar als Vorteil, vor allem wenn es dann um das ganze
> Handling mit den Rückrufzertifikaten & Co. geht.

Jep, CRLs werden von der Z1 natürlich geprüft und entsprechend
berücksichtigt.

>> Es stünde der Liste gut zu Gesicht, wenn Ihr mal ein wenig reflektiert,
>> bevor Ihr eine Idee mit ein paar lapidaren Sätzen verwerft. Nur so eine
>> Anregung...
> Aha, und was genau willst Du hiermit ausdrücken? Ich stehe da etwas auf
> dem Schlauch? Wer verwirft hier was? Und was genau wäre die
> Informationsklassifizierung "ein paar lapidaren Sätze"?

Begründung oben - allerdings hätte ich mir diesen Spruch auch
zugegebenermaßen sparen können. Zum einen wird es ja nun doch
differenziert, so dass ich mir nun selbst vorwerfen muss, vorschnell
gewesen zu sein. Zum anderen sind solche Sprüche idR immer
kontraproduktiv, wenn man ernsthaft diskutieren möchte. Würde mich
freuen, wenn Ihr's unter "Jan hatte seine 5 Minuten" verbuchen könntet...

> O.K. werd' ich mir mal genauer ansehen, die anderen beiden auch. Wenn es
> denn mal soweit ist, werde ich da wohl verstärkt einsteigen.

Jep, mein Tipp: Mach eine Evaluierung und hol' Dir Demos ins Haus. Der
Teufel liegt oft im Detail (Handling, Support, ...).

Danke, dass Ihr trotz einiger etwas polemischer Sprüche sachlich
geantwortet habt!