PGP/GPG-Einrichtung

ahecht · 6. Januar 2009

Wir haben hier seit kurzem ein Tobit 10 am Laufen und ich vermisse einige Dinge bzw. kann sie trotz Handbuch nicht finden.
Eins dieser Dinge ist die angeblich mögliche Einbindung von PGP, für die ich allerdings noch keine Konfigurationsmöglichkeit gefunden habe.

Deshalb hier mal die Frage, wie man Tobit bzw. dem David-Infocenter beibringt, wo das PGP- bzw. GPG-Executable liegt, welche Keyserver benutzt werden sollen und wo nach den Keyrings gesucht wird. Interessant wäre auch, ob und wie man per Mail erhaltene public keys von David aus dem eigenen Keyring hinzufügen bzw. Fingerprints von David aus verifizieren kann.

Danke im Voraus,
Andreas

Teardrop · 7. Januar 2009

Hallo Andreas,

in der Online Hilfe des David Administrators sowie im System Handbuch (nicht im Anwenderhandbuch) findet sich einiges zum Thema PGP. Hier mal ein Auszug aus der Hilfe:

Zitat

David unterstützt den Einsatz der clientbasierten Verschlüsselungsverfahren PGP und S/MIME. Beide Verfahren bieten Möglichkeiten zur Nachrichtenverschlüsselung und zur Erstellung so genannter digitaler Unterschriften (Signaturen). Um diese Art der Verschlüsselung nutzen zu können, muss sichergestellt sein, dass sowohl der Absender als auch der Empfänger auf seiner Arbeitsstation PGP oder S/MIME korrekt installiert bzw. eingerichtet hat.

Bei Einsatz von PGP oder S/MIME findet im Gegensatz zu serverbasierten Verfahren die Ver- und Entschlüsselung nicht auf dem Server, sondern direkt auf den Arbeitsstationen der Anwender statt. Das bedeutet, dass Sendeaufträge vom Benutzer bereits verschlüsselt an den Server zum Versand übergeben und empfangene Nachrichten verschlüsselt im Tobit Archive System (TAS) abgelegt werden.

Für jeden Benutzer kann individuell festgelegt werden, ob er diese Verschlüsselungsmechanismen nutzen darf oder nicht. Die zugehörigen Einstellungen finden Sie in der David Benutzerkonfiguration unter dem Menüpunkt System - Benutzer - Rechte. Die Nutzung der S/MIME-Verschlüsselung bzw. -Signierung kann darüber hinaus auch in der David Systemkonfiguration global erlaubt oder unterbunden werden. Die zugehörigen Einstellungen befinden sich hier auf der Registerkarte Sicherheit.

Benutzern, die über die Berechtigung zur Nutzung der Verschlüsselung sowie über die erforderlichen Zertifikate bzw. Code-Schlüssel verfügen, werden im Nachrichten Editor des David.InfoCenter Funktionen für das Ver-/Entschlüsseln und Signieren per PGP oder S/MIME angeboten. Diese sind über zusätzliche Schaltflächen in den Symbolleisten erreichbar.

Siehe auch:
Generelle Funktionsweise der clientbasierten Verschlüsselung

Alles anzeigen

Zitat

Die Abkürzung PGP steht für Pretty Good Privacy. Um diese clientbasierte Verschlüsselungsmethode einsetzen zu können, muss auf den Arbeitstationen der Anwender zunächst eine geeignete PGP Software installiert werden, z.B. das Programm PGP der PGP Corporation. Dieses Programm kann für private Zwecke kostenlos verwendet werden. Wenn Sie es jedoch kommerziell nutzen möchten, müssen Sie eine Lizenz bei der PGP Corporation erwerben (http://www.pgp.com/de).

Nach der Installation von PGP auf seiner Workstation kann sich ein Anwender die erforderlichen Code-Schlüssel (Private Key und Public Key) selbst erzeugen. Die hierzu erforderlichen Funktionen sind in der PGP Software enthalten. Als zusätzliche Sicherheit ist hierbei ebenfalls ein besonderes Passwort zu definieren, dass vor missbräuchlicher Verwendung der Code-Schlüssel schützt.

Siehe auch:
Generelle Funktionsweise der clientbasierten Verschlüsselung

Gruß Jens

ahecht · 7. Januar 2009

Zitat von Teardrop

in der Online Hilfe des David Administrators sowie im System Handbuch (nicht im Anwenderhandbuch) findet sich einiges zum Thema PGP.

Den Abschnitt im Systemhandbuch, der sich mit PGP befasst, habe ich gelesen. Die Rechte für meinen David-Benutzer lassen die Verwendung der Verschlüsselung auch zu. Allerdings finde ich im David InfoCenter keinerlei Möglichkeiten, die für PGP notwendigen Parameter einzustellen, angefangen vom Pfad der Anwendung und dem homedir-Parameter für die Keyrings über Regeln für die Auswahl der Schlüssel bis hin zu den Adressen der zu nutzenden Keyserver.

Beim Versenden von Nachrichten kann ich zwar angeben, dass diese mit PGP verschlüsselt und/oder signiert werden, aber was dann passiert, ist der absolute worst case: Die Nachricht wird ohne jede Warnung unverschlüsselt (und natürlich auch unsigniert) versandt! Das sollte, selbst bei einer Fehlkonfiguration, auf keinen Fall passieren!

Eingehende verschlüsselte und/oder signierte Mails werden als plain text dargestellt, Signaturen und PGP-Header werden nicht erkannt.

Möglicherweise wird die im Systemhandbuch geforderte "korrekte Installation" vom InfoCenter nicht erkannt, leider habe ich nirgends einen Hinweis gefunden, anhand welcher Merkmale David eine korrekte Installation – was immer das für PGP (als Konsolenanwendung) bedeutet – erkennt.
Im Moment verwenden wir GnuPG 1.4.9 (MingW32) unter WinXP.

Viele Grüße,
Andreas

Teardrop · 7. Januar 2009

Hallo Andreas,

dann können wir Dir hier momentan auch nicht weiterhelfen fürchte ich. Wir haben bei keinem Kunden PGP laufen. Mach doch einfach mal eine ARC-Intercom Anfrage bei Tobit auf.

Gruß Jens

esmoh · 7. Januar 2009

Hallo,

David hat PGP nur in der Version 8 unterstützt. Mit gnuPGP oder ähnlichem geht das garnicht.
Trotzdem als ARCIntercom anfrage stellen. Eventuell gibts dann mal irgendwann ein Update.
Aus der Knowledge-Base:

Zitat

Um eMails im David InfoCenter vor dem Versand zu verschlüsseln und nach dem Empfang zu entschlüsseln, können Sie PGP (Pretty Good Privacy) in der Version 6.5.8, 7 und 8 nutzen. Die PGP Version 9 wird zurzeit noch nicht unterstützt.

Zitat

Zur Verschlüsselung von eMails kann neben PGP auch das frei verfügbare GnuPG genutzt werden. Allerdings stehen Ihnen nur bei der Nutzung von PGP die entsprechenden Symbole auch im David InfoCenter zur Verfügung. Mit GnuPG müssen die Nachrichten manuell ver- und entschlüsselt werden.

ahecht · 7. Januar 2009

Zitat von esmoh

[quote]Zur Verschlüsselung von eMails kann neben PGP auch das frei verfügbare GnuPG genutzt werden. Allerdings stehen Ihnen nur bei der Nutzung von PGP die entsprechenden Symbole auch im David InfoCenter zur Verfügung. Mit GnuPG müssen die Nachrichten manuell ver- und entschlüsselt werden.

Hm, das erklärt die Probleme. Schade, aber das macht die Sache so umständlich, dass ich wohl nebenher weiter Thunderbird laufen lassen werde...

~~Wo findet man eigentlich die erwähnte Knowledge Base? Ich hab die Tobit-Website und dieses Forum abgesucht, aber nix gefunden. Auch Google hat mir nicht weitergeholfen.~~
Hat sich erledigt – hab’s gefunden...

Viele Grüße,
Andreas

Leggroporte · 16. November 2010

Hallo,

ich hole das Thema mal aus der Versenkung.
Hat Tobit nun mal etwas getan in Sachen PGP?
Wir benutzen hier David fx und würden gerne mit PGP verschlüsseln, bzw. E-Mails verschicken/empfangen.

Teardrop · 16. November 2010

Hallo,

hier hat sich nichts verändert soweit ich weiß.
Was genau willst Du denn machen? PGP wird ja prinzipiell unterstützt.

Alternativ könnt ihr auch die integrierte Digitale Signatur nutzen? Damit klappt das ganze einfach und unproblematisch.

Gruß Jens

Leggroporte · 17. November 2010

Also es wird gewünscht den E-Mail Verkehr sicher zu machen, sodass jemand der eine E-Mail abgreift nicht in den Inhalt dieser Mail gucken kann (vertrauliche Daten).
Wie das realisiert wird ist vorerst egal, hauptsache sicher und nicht gerade kompliziert.
PGP wäre in diesem Fall ja vielleicht nicht das benutzerfreundlichste, dafür aber safe

esmoh · 17. November 2010

Dann würde ich empfehlen das Ganze digital zu Signieren bzw. zu Verschlüsseln.
David kann dazu direkt Zertifikate einbinden. Allerdings muss die Gegenstelle das Ganze natürlich wieder entschlüsseln können, also müssen die auch an ein Zertifikatsystem angeschlossen sein.

Leggroporte · 17. November 2010

Es gibt ja dieses Signtrust-Zertifikat der Post, das verschlüsselt ja nicht sondern stellt nur sicher, dass die Mail wirklich von mir kommt, oder?
Also die Mail sollte dann schon wirklich verschlüsselt sein. Und der Umstand, dass die Gegenstelle diese dann wieder entschlüsseln muss kann man dann leider nicht umgehen.

esmoh · 17. November 2010

Vorsicht. Man kann wie bei PGP beides tun. Zum einen signieren, zum anderen Verschlüsseln.
Wichtig ist nur, dass die Gegenstelle die Entschlüsselung unterstützen muss. Also entweder ebenfalls PGP einsetzt oder ein Zertifikat im Einsatz hat.

Teardrop · 18. November 2010

Zitat von esmoh

Allerdings muss die Gegenstelle das Ganze natürlich wieder entschlüsseln können, also müssen die auch an ein Zertifikatsystem angeschlossen sein.

Stimmt so nicht ganz. Die Gegenstelle muss das Zertifikate des Versenders installiert haben um die Nachricht entschlüsseln zu können.

Gruß Jens

Leggroporte · 27. Januar 2011

wie funktioniert denn eine Verschlüsselung mit einer Signatur?
Ich dachte eine Signatur stellt nur sicher, dass eine E-Mail wirklich auch von mir ist und von niemandem verändert wurde.
Verschlüsselung für mich ist, öffnet jemand eine Mail und hat keinen Schlüssel, sieht er den Inhalt der Mail nicht.
Hat er den Schlüssel, kann er die Mail normal lesen...

Teardrop · 27. Januar 2011

Zitat von Leggroporte

Verschlüsselung für mich ist, öffnet jemand eine Mail und hat keinen Schlüssel, sieht er den Inhalt der Mail nicht.
Hat er den Schlüssel, kann er die Mail normal lesen...

Genauso geht das hier auch. Für die digitale Signatur existiert ja ein Zertifikat und damit kann auch verschlüsselt werden. Sobald das Zertifikat installiert ist, kann man einfach den entsprechenden Button in der E-Mail Maske anklicken.
Natürlich muss der Empfänger der Nachricht vorher das Zertifikat des Absenders bei sich eingebunden haben, sonst klappts nicht mit der Entschlüsselung.

Gruß Jens

PGP/GPG-Einrichtung

Jetzt mitmachen!

Teilen