Hi Folks.

Ich stehe vor der Aufgabe in der Firma in der ich arbeite eine Software zur Verschlüsselung von eMails einzuführen. Dazu habe ich ein paar Fragen:

Wer kann mir Vor-/ Nachteile zwischen dem mittlerweile kommerziellen PGP und GnuPG nennen? Wenn ich auf der Seite von PGP.com richtig gelesen habe, kostet die PGP 8.0 Version 120 $ für >20 Lizenzen.

GnuPG hätte zumindest den Vorteil, dass absolut kostenfrei ist und trotzdem die notwendigen PlugIns existieren.

Ist es möglich einen eigenen Keyserver in der Firma zu unterhalten um den schnellen austausch der Keys zwischen allen Mitarbeitern zu gewährleisten?

PGP bietet diese Option an, bei GnuPG habe ich in der Richtung noch nichts gefunden.

hi Windoofsklicker

Also ob es Keyserver aus der Opensource Gemeinde gibt? Keine gefunden,
aber ein paar Infoseiten in deutsch.
http://www.gnupp.de/start.html


Dieses Konzept ist aber auch gut und lässt sich als Event in der Firma aufziehen:
http://www.rubin.ch/pgp/weboftrust.de.html

greetz rabenkind :))

Original geschrieben von rabenkind
Also ob es Keyserver aus der Opensource Gemeinde gibt? Keine gefunden,

Ich hab auch keinen gefunden. Warum eigentlich? Der ist sicher nur gut versteckt!

Taylor

hi to all

Es gibt Software um sich einen Keyserver aufzusetzen, ich habe bei einer Seite aus Süddeutschland davon gelesen, aber dort leider nichts gefunden was auf die Quellen hinweist. Vielleicht haben die ja auch eine eigene Lösung implementiert. Mal schauen, werde dran bleiben.

Allerdings denke ich das die Keysignpartys eine bessere Lösung sind, weil ich da die Menschen sehe mit denen ich Keys austausche, auf einem Keyserver könnten ja auch Fakes abgelegt werden, wer will das verifizieren.

greetz rabenkind :))

Original geschrieben von rabenkind
auf einem Keyserver könnten ja auch Fakes abgelegt werden, wer will das verifizieren.
Der Fingerprint des Schlüssels? Dafür ist der doch da.

Gruß,
Taylor

http://www.cryptnet.net/fsp/cks/
http://www.mit.edu/people/marc/pks/

hi to all

@taylor

und wer sagt mir das der echt ist, bzw genau von dem Menschen von dem ich es erwarte. Aus dem Internet von einer Webseite mh, leicht zu fälschen, eine Mail die angeblich von diesem Menschen stammt zu fälschen auch kein Problem. Wie gesagt das ganze geht davon aus das ich meinen Korrespondenzpartner nicht persönlich kenne.

greetz rabenkind :))

ps. Ich bin paranoid in Sachen Sicherheit :D

pps Vielen Dank an Nachtgeist, gute Links zum Thema Keyserver.

bin mir nicht ganz sicher aber eventuell ist pks das von euch gesuchte => http://sourceforge.net/projects/pks/

edit: argh ich seh grade, das wurde von Nachtgeist ja schon gepostet

Gruß HL

Original geschrieben von rabenkind
und wer sagt mir das der echt ist, bzw genau von dem Menschen von dem ich es erwarte. (...)

ps. Ich bin paranoid in Sachen Sicherheit :D

In diesem Fall würde ich mir den Fingerprint am Telefon vorlesen lassen und vergleichen.

In meinem Fall reicht es mir aus, wenn der FP mit dem auf der Webseite oder dem aus einer X-Fingerprint Headerzeile eine Mail übereinstimmt.
Zu guter letzt gibt's ja noch das Web of Trust, also das Unterschreiben einens Schlüssels.

Wie immer, wenn es um Sicherheit geht, kann man alles fast beliebig steigern. Die gleiche Diskussion hatte ich z.B. schon um "genügt ein Wipe Durchgang, um die Daten zu überschreiben, oder sollte ich 38 Durchgänge machen" oder "genügt eine PGP Schlüsselbreite von 1024-bit, oder brauche ich 4096-bit". :)

Mir reicht für den Hausgebrauch die geringere Sicherheit aus.

Gruß,
Taylor

Ich glaube auch nicht, dass jemand eine "man in the middle" Attacke startet um meine emails zu lesen;)

cane

hi to all

@cane

Das glaube ich bei mir privat auch nicht. Aber el Chefe hat schon Sachen die niemanden etwas angehen, wo sich einer solcher Angriff aber lohnen würde. Auf Arbeit sieht das halt ein wenig anders aus.

greetz rabenkind :))

Original geschrieben von rabenkind
Das glaube ich bei mir privat auch nicht. (...) Auf Arbeit sieht das halt ein wenig anders aus.

Ich denke, da sind wir uns alle einig :)