Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verständnis TLS sowie SMINE

Mitglied: Gregor81

Gregor81 (Level 1) - Jetzt verbinden

16.05.2018 um 09:25 Uhr, 616 Aufrufe, 14 Kommentare, 3 Danke

Hallo zusammen,

wir überlegen das wir unsere Emails per S/MINE verschlüsseln da wir oft personenbezogene Daten per Mail verschicken sowie empfangen.

Jetzt hat ein Systemhaus mir mitgeteilt das man S/MINE gar nicht braucht weil TLS 1.2 auch schon ausreicht, stimmt das so? Ich habe gedacht das bei TLS nur der weg verschlüsselt wird, jedoch nicht selbst die Email.

Ich will mich hier auf jeden Fall absichern, muss es nicht unbedingt haben das ich mal irgendwann ein Brief vom Anwalt bekomme weil wir personenbezogene Daten "unverschlüsselt" verschicken.

Vielen Dank für eure Hilfe.



Mitglied: Kraemer
16.05.2018 um 09:28 Uhr
Moin,

entweder war der Kerl besoffen, oder ihr solltet euch ein neues Systemhaus suchen.

Gruß
Bitte warten ..
Mitglied: Voiper
16.05.2018 um 09:34 Uhr
Ich glaube was Kraemer sagen wollte, war dass du durchaus recht hast und TLS nur die Kommunikation der Gegenstellen verschlüsselt. Die Mail bleibt weiterhin im Klartext erhalten. PGP und S/MIME sind da sinnvolle Ergänzungen.

Gruß, V
Bitte warten ..
Mitglied: LordGurke
16.05.2018, aktualisiert um 12:21 Uhr
Beide Angriffe funktionieren aber nur, wenn der Mailclient nicht nur automatisch entschlüsselt sondern auch noch ungefragt externe Ressourcen aus E-Mails nachlädt.
Letzteres ist seit spätestens den letzten 15 Jahren in allen mir bekannten Mailclients standardmäßig abgeschaltet.
Wer das demnach absichtlich wieder einschaltet hat es nicht besser verdient.

Bei Kryptografie gilt zudem sowieso, dass das beste System nichts taugt, wenn nicht alle beteiligten mit Sinn und Verstand arbeiten...
Bitte warten ..
Mitglied: ukulele-7
16.05.2018 um 12:27 Uhr
Also TLS kannst du natürlich machen und wenn z.B. dein E-Mail Server die Mail direkt dem Mail Server des Empfängers zustellt wäre die Übermittlung auch sicher. Da du aber i.d.R. die E-Mail an einen Mailserver deines Anbieters weiter reichst und den Empfänger Mailserver gar nicht kennst kannst du nicht mit Sicherheit sagen wo diese Email wie übermittelt wird.

Was SMIME angeht so fand ich den Artikel auf Golem doch irgendwie besser:
https://www.golem.de/news/pgp-smime-angreifer-koennen-sich-entschluessel ...
Grundsätzlich bin ich skeptisch von SMIME abzuraten ohne eine ernstzunehmende Alternative anbieten zu können. Die Antwort kann nur sein einen sicheren Mailclient einzusetzen und auf eine Verbesserung des Standards oder einen besseren Standard zu warten aber eben nicht einfach zu verzichten.
Bitte warten ..
Mitglied: Kraemer
16.05.2018 um 12:32 Uhr
Zitat von ukulele-7:
Die Antwort kann nur sein einen sicheren Mailclient einzusetzen und auf eine Verbesserung des Standards oder einen besseren Standard zu warten aber eben nicht einfach zu verzichten.
Dazu passend - vor allem weil hier schon heise verlinkt wurde - ein weiterer heise-Link: https://www.heise.de/newsticker/meldung/Kommentar-Efail-ist-ein-EFFail-4 ...
Bitte warten ..
Mitglied: ukulele-7
16.05.2018 um 12:38 Uhr
Und sie haben Signal empfohlen (was man ja jetzt nicht mal einfach so als E-Mail Ersatz einführt) und genau das hat gestern auch eine Sicherheitslücke gestopft. Ich kann nicht verstehen wie ein Forscher zu solchen Sicherheitslücken seriös keine Verschlüsselung als besser bezeichnen kann.
Bitte warten ..
Mitglied: java667
16.05.2018 um 12:59 Uhr
Zitat von ukulele-7:

Grundsätzlich bin ich skeptisch von SMIME abzuraten ohne eine ernstzunehmende Alternative anbieten zu können.

Da stimme ich zu und finde es persönlich höchst fahrlässig und auch unqualifiziert. Das ist wie den Airbag zu deaktivieren, weil er in manchen Fällen nicht richtig funktioniert. Ja, wenn das so ist, dann schalte ich das Ding eben ganz ab...

Hinzu kommt, dass es mittlerweile genug Gateways auf dem Markt gibt, die das ver- und entschlüsseln für den Client zentral übernehmen. Aber jetzt kommen sicher die Spezialisten und sagen: "Dann ist es aber keine echte Ende-zu-Ende Verschlüsselung mehr!"...moment ich such fix meinen Aluhut.
Bitte warten ..
Mitglied: emeriks
16.05.2018, aktualisiert um 14:24 Uhr
Hi,
moment ich such fix meinen Aluhut.
Das hat damit eigentlich überhaupt nichts zu tun, aber auch rein gar nichts!
Wer nur eine Sekunde länger nachdenkt, kommt sicher auch zu dem Schluss, dass es beim Verschlüsseln von Mails primär darauf ankommt, dass nur der vorgesehene Empfänger, bzw. derjenige, welcher den Schlüssel hat, die Mail lesen kann. Dazu gehören dann auch solche Szenarien, wenn Stellvertreter oder Einbrecher auf ein Postfach zugreifen und dann eben nicht in der Lage sein sollen, für den Postfachinhaber verschlüsselte Mails lesen zu können, es sei denn, sie haben den Schlüssel. Die Transportverschlüsselung leistet genau das aber nicht. Sie kann maximal sicherstellen, dass die Mail unverfälscht ankommt bzw. dass Dritte gar nicht mitbekommen, dass eine Mail an einen bestimmten Empfänger unterwegs ist. Insofern ist die Gegenüberstellung von TLS und S/MIME vollkommen fehl am Platz. Das Postfach ist das Bankschließfach. TLS ist der gepanzerte Transporter. Und S/MIME ist der verschlüsselte Brief, welcher im Bankschließfach abgeliefert und gelagert wird.

E.
Bitte warten ..
Mitglied: java667
16.05.2018 um 14:52 Uhr
Zitat von emeriks:

Das hat damit eigentlich überhaupt nichts zu tun, aber auch rein gar nichts!
Wer nur eine Sekunde länger nachdenkt...

Bitte vielleicht meinen Post für ein bis zwei Sekunden länger lesen...

Die Transportverschlüsselung leistet genau das aber nicht.

Ich denke du hast meine Aussage missverstanden. Es ging in meinem Post nicht um dieTransportverschlüsselung, sondern um ein Verschlüsselungs-Gateway welches die ver- und entschlüsselung via S/MIME oder PGP für den Client übernimmt (z.B. NoSpamProxy). Und da das ganze eben nicht im Mailclient vorgenommen wird, haben wir zum einen keine "echte" Ende-zu-Ende Verschlüsselung und zum anderen trifft efail in so einem Fall nicht zu.

Also mein Aluhut ging an die Personen, welches das oben beschriebene nicht als "echte" Ende-zu-Ende Verschlüsselung bezeichnen. Kann aber jeder halten wie er möchte... Fakt ist aber, nicht zu verschlüsseln ist wohl keine Alternative

Gruss,
Java
Bitte warten ..
Mitglied: Voiper
16.05.2018 um 15:24 Uhr
Zitat von java667:
Also mein Aluhut ging an die Personen, welches das oben beschriebene nicht als "echte" Ende-zu-Ende Verschlüsselung bezeichnen.

Hier liegt der Hase begraben...Niemand hat das behauptet ;)
Bitte warten ..
Mitglied: emeriks
16.05.2018, aktualisiert um 15:30 Uhr
Na dann denke ich, dass ich Dich richtig verstanden hatte.
Das mit dem "Aluhut" ist m.E. eine Verharmlosung eines ernsten Themas. Der TO schreibt von personenbezogenen Daten!
Diese Verschlüsselung über solche Gateways kenne ich. Allerdings auch nur als Sender-Gateway. Denn auch hier findet doch die Entschlüsselung erst beim Empfänger (Mailclient) statt? Wenn es da auch Empfänger-Gateways gibt, welche die Mails entschlüsseln und dann intern unverschlüsselt weiterleiten, dann ist das m.E. eine Verarschung des Senders, wenn dieser nicht explizit darüber in Kenntnis gesetzt wird, dass die Mail unverschlüsselt beim Empfänger ankommt.
Bitte warten ..
Mitglied: ukulele-7
18.05.2018 um 09:49 Uhr
Bei SMIME per Gateway ist das durchaus so das das Gateway die Entschlüsselung übernimmt. Bei uns ist das auch so gewollt denn SMIME soll tatsächlich nur den Transport absichern und nicht wie bei TLS bis zum Mailserver sondern darüber hinaus bis zum Netzwerk des Empfängers. Das geht halt mit TLS nicht wenn dazwischen "unbekannte" Server liegen.

Natürlich ist die E-Mail dann im Sende und im Empfänger Netz unverschlüsselt. Diesen kann man aber vielleicht mehr vertrauen. Wenn der Empfänger seinem Mail Admin nicht traut oder den Inhalt in seinem Archiv verschlüsselt liegen haben will würde ich eher zur PDF greifen. Wir möchten es aber definitiv unverschlüsselt auf dem Mailserver haben. Der Zugriff auf Fremede Postfächer ist dabei natürlich klar geregelt.

Ich würde aber nicht sagen das das aktuelle Angriffsszenario hier nicht greift. Das Gateway kann ja den Inhalt entschlüsseln und der Mailclient hat dann den entschlüsselten Inhalt, eingebettet in einen Link und kann diesen immernoch weiter leiten. Ich würde also nicht sagen das ein Gateway hier die Sicherheit erhöht.
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Verständnis von VPN
Frage von tomolpiNetzwerke7 Kommentare

Hallo, habe mal eine kleine "Verständnisfrage" zum Thema VPN. Ich hab also hier einen Windows Server mit HyperV. In ...

Datenbanken
Trigger Verständnis
gelöst Frage von TiCarDatenbanken1 Kommentar

Hi ich bräuchte mal Hilfe bei einem Trigger bei einem MSSQL 2012R2 Datenbankserver, bei dem ich das Verhalten nicht ...

Netzwerke
OpenVPN TLS
Frage von 121851Netzwerke4 Kommentare

Hallo zusammen, habe mir mir einen OpenVPN Server aufgesetzt und der funktioniert. Habe jetzt mal in die Logdatei gesehen ...

Windows Server

Aktivierung TLS - GPO - Webseite greift nicht auf TLS zurück

Frage von Martin89Windows Server1 Kommentar

Hallo, ich bin etwas ratlos. Folgendes Problem: Unsere Finanzbuchhaltung greift per IE auf die Seite von ElsterOnline zu. Insofern ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 14 StundenErkennung und -Abwehr1 Kommentar

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 22 StundenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 2 TagenDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 3 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Heiß diskutierte Inhalte
Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Windows Server
Domäne einsilbig mit nur einem Namen benannt - sowie AD und MX auf einer VM Kardinalsfehler?
Frage von TomTestWindows Server27 Kommentare

Hallo liebe Freunde gepflegter Probleme, seit kurzem soll ich eine Domäne verwalten die zuvor von einem IT-Dienstleister erstellt und ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
gelöst Frage von Marcel1989Datenbanken19 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

DNS
Gibt es eine Art DNS Proxy?
Frage von icepietDNS15 Kommentare

Hallo Nerds, Ich würde gerne folgendes machen: ts.domain.de:3389 soll auf 1.2.3.4:3389 auflösen ts2.domain.de:3389 soll auf 1.2.3.4:3390 auflösen Gibt es ...