Email Encryption

3

Spero che qualcuno possa indicarmi la giusta direzione.

Se volessi implementare la crittografia della posta elettronica all'interno di un'organizzazione quale sarebbe il modo migliore? Ho cercato sul Web stasera, ma tutte le mie ricerche sono appena arrivate con PGP. Tuttavia un approccio basato sulla fiducia non mi attrae per un'organizzazione.

Qualche suggerimento? Vorrei che anche le e-mail fossero firmate, come in PGP.

    
posta Gilles 26.11.2014 - 00:42
fonte

3 risposte

2

TL; DR - Usa SMIME o PGP se sei paranoico di tutto.

Ulteriori informazioni:

Per rispondere alla tua domanda riassuntiva: come si protegge l'e-mail? In pratica, le email sono soggette ad attacchi da spoofing DNS , intercettazione WIFI e amministratori di rete non attendibili, solo per citarne alcuni.

Per mitigarlo è necessario considerare i diversi aspetti che necessitano di sicurezza. È probabile che la maggior parte delle aziende manchi di sicurezza in almeno una delle seguenti aree, quindi tutto ciò che invii potrebbe essere visualizzato in testo chiaro e visibile da una persona diversa dal destinatario previsto.

Sotto ogni aspetto della sicurezza ho elencato i prodotti rilevanti raggruppati in base a come sono implementati tecnicamente. Porsi queste domande in base al contenuto che stai inviando via email:

Verifica mittente del messaggio

Il destinatario ha bisogno di dimostrare che sei stato tu a inviare il messaggio?

  • SenderID / SPF Records (verifica debole)
  • Tasti di dominio / DKIM (la forza dipende dall'implementazione)
  • DMARC (strong convalida del display da parte dell'utente ... ibrido di SenderID e DomainKeys)
  • PGP o s / MIME (potrebbe causare problemi di conformità se è richiesto journaling o è richiesto un controllo dei messaggi)
  • Prodotti basati su portale (Voltage, Proofpoint, Zixmail)
  • Microsoft RMS server + Outlook

Trasporto messaggi

Devo impedire la lettura o la modifica non autorizzata di MTA e MTA del mittente dell'e-mail?

  • TLS applicato, con convalida del certificato. I certificati non convalidati sono soggetti agli attacchi MITM .
  • TLS basato su Zix è una rete TLS privata che non richiede la configurazione manuale
  • PGP o s / MIME (potrebbe causare problemi di conformità se è richiesto journaling o è richiesto un controllo dei messaggi)
  • Prodotti basati su portale (Voltage, Proofpoint, Zixmail)
  • Microsoft RMS server + Outlook

Lettura del messaggio

Devo assicurarmi che solo il destinatario previsto sia in grado di leggere il contenuto del messaggio?

  • PGP o s / MIME (potrebbe causare problemi di conformità se è richiesto journaling o è richiesto un controllo dei messaggi)
  • Prodotti basati su portale (Voltage, Proofpoint, Zixmail)
  • Microsoft RMS server

L'endpoint del client deve essere sicuro? (vale se sopra 3 prodotti non vengono utilizzati)

  • L'amministratore di rete di destinazione consegna la posta utilizzando un trasporto sicuro (MAPI crittografato, POP3 su TLS, ecc.)
  • Il dispositivo di destinazione è sicuro. Questo vale per le workstation e i dispositivi mobili .
  • Microsoft UAG aggiunge funzionalità a OWA dove viene controllato l'endpoint e verrà eliminato allegati rimanenti in %temp% e limitano o negano l'accesso alle funzionalità secondo la politica
  • Un'alternativa a UAG è block attachments dal raggiungere il cliente (come Henri ha menzionato prima)
risposta data 09.12.2014 - 07:19
fonte
0

Innanzitutto, contento che tu non abbia suggerito di progettare il tuo; in questo modo giacciono anni di insicurezza e supportano gli incubi. PGP supporta un PKI con i certificati X509 [1], anche se poche persone lo usano in questo modo. Un'altra opzione è S / MIME, con certificati emessi da una nota CA [2]. In entrambi i casi, si ottiene la gestione centralizzata della gerarchia della fiducia e si può saltare il mal di testa associato a WOT.

1: Vedi link
  2: link

    
risposta data 28.11.2014 - 06:33
fonte
0

Non so se stai cercando una soluzione "roll your own" o se la tua azienda è disposta a investire in un prodotto commerciale.

Se sei interessato a un prodotto commerciale, Voltage Security ha "Voltage SecureMail" link che soddisferà le esigenze hai descritto.

    
risposta data 28.11.2014 - 04:52
fonte

Leggi altre domande sui tag