PGP Universal maakt mailencryptie voor bedrijven makkelijk

PGP Corporation heeft een softwarepakket ontwikkeld dat het beveiligen van e-mailberichten voor bedrijven aanzienlijk moet vereenvoudigen, zo meldt het bedrijf in een persbericht. PGP Universal moet het encrypteren van e-mails volledig transparant maken voor de eindgebruiker, door dit proces te verplaatsen van de client naar een proxyserver tussen de client en een mailserver. De server genereert encryptiesleutels en beheert de digitale ondertekening van berichten volgens het beveiligingsbeleid van het betreffende bedrijf. Voor optimale veiligheid kan ook de verbinding tussen de client en proxyserver beveiligd worden met SSL. Deze aanpak moet zowel de kosten van e-mailencryptie omlaag brengen, als het beheer en de implementatie ervan vereenvoudigen. Met name dat laatste is volgens de makers voor veel bedrijven een reden geweest het systeem niet eerder in te voeren, met het risico dat vertrouwelijke e-mails gelezen worden door mensen voor wie deze niet bedoeld zijn. De software is per direct verkrijgbaar:

"By shifting security from the desktop to the network, PGP Universal reduces the need to rely on users to comply with security policy. This new architecture makes it possible to set and enforce a domain-based security policy uniformly and automatically for all messages, as well as to extend strong email security to all users."

Reacties (22)

Verwijderd 15 september 2003 22:01

Zou het niet mooi zijn mochten alle ISP's dit aanbieden... Allemaal zo'n proxy bij de mailserver en alle klanten veilig mailen...

* 786562 DaCode

arjankoole @Verwijderd • 15 september 2003 22:11

tja, je hebt een goed punt.

en ik kan je verzekeren, als sysadmin bij een ISP ga ik dit ook gelijk uitzoeken. (tot die conclusief was ik al gekomen na de eerste 3 regels van het artikel)...

als de de kosten niet te hoog zijn, dan kan het zijn dat dit ingevoerd wordt in de toekomst. Zeker providers als XS4ALL (waar ik dus net effe niet werk) zullen hier een gretig afnemer van zijn (wederom als de kosten niet te extreem zijn), en als de software/proxy onder FreeBSD draait. (en uiteraard ook onder Linux voor mensen die daar de voorkeur aan hebben, XS4ALL en waar ik werk draaien primair FreeBSD).

Teckna @arjankoole • 16 september 2003 00:24

XS4ALL heeft op dit moment al een pakket van PGP gratis in de aanbieding voor ieder lid, deze is te downloaden vanuit het ServiceCentre op hun website. wel zijn er wat problemen met de versie die hun aanbieden en windows XP, maar met een omweg kan je deze alsnog installeren. het gaat om versie (PGP Desktop Firewall 7.1)

mjtdevries 16 september 2003 09:56

Er is nog een ander probleem waar blijkbaar niemand aan gedacht heeft:

Stel dat iedereen vrolijk al zijn mailtjes encrypt. (Dat is immers makkelijk te doen met dit pakket)

Dan betekent dat meteen dat als zo'n persoon een virus heeft dat die virusberichten ook encrypted verstuurd worden.

Met als gevolg dat de virusscanners op mailservers en firewalls de virussen niet meer kunnen tegenhouden.
Oops......

Bor Coördinator Frontpage Admins / FP Powermod @mjtdevries • 16 september 2003 10:00

Dan betekent dat meteen dat als zo'n persoon een virus heeft dat die virusberichten ook encrypted verstuurd worden.

Met als gevolg dat de virusscanners op mailservers en firewalls de virussen niet meer kunnen tegenhouden.
Oops......

Dat probleem is natuurlijk makkelijk op te lossen met dit systeem. Gewoon een virusscanner installeren op die proxy server. De berichten komen daar immers clear text aan.

lohost @mjtdevries • 16 september 2003 09:59

Het lijkt me meer dan logisch dat de virusscanner eroverheen gaat voordat de mail encrypt wordt.

Verwijderd 15 september 2003 22:29

Geweldig plan inderdaad, alleen moeten wel alle bedrijven waar heen wordt gestuurd gebruik maken van PGP/Encryptie. Feitelijk zet je tussen de bedrijven in kwestie een beveiligde e-mail tunnel op.

arjankoole @Verwijderd • 15 september 2003 22:42

yep, maar onder bepaalde instellingen is dat natuurlijk helemaal niet zo'n bijzondere eis.

goed, je zou natuurlijk kunnen stellen dat beide bedrijven een IPSec tunnel met elkaar hebben, en dat derhalve alle communicatie tussen de twee al beveiligd is, maar ik denk dat dat een minder 'gebruikers vriendelijke' oplossing is dan dit... theoretisch gezien is zoiets te omzeilen, terwijl je hiermee ook policy kan neerzetten dat 't alleen verzonden kan worden als het PGP encrypted is.

overigens een kleine opmerking: slordig van PGP: een van de email adressen waar je meer informatie kan aanvragen voor een evaluatie versie werkt niet. (user unknown melding)

Beaves @arjankoole • 15 september 2003 23:01

goed, je zou natuurlijk kunnen stellen dat beide bedrijven een IPSec tunnel met elkaar hebben, en dat derhalve alle communicatie tussen de twee al beveiligd is, maar ik denk dat dat een minder 'gebruikers vriendelijke' oplossing is dan dit... theoretisch gezien is zoiets te omzeilen

Misschien heel theoretisch, want een IPSec VPN hacken wordt erg lastig omdat het hele princiepe goed in elkaar zit. Om het te hacken moet je bijna de medewerking van óf de ontvanger óf de verzender hebben. (Meer info over de veiligheid van IPsec).

terwijl je hiermee ook policy kan neerzetten dat 't alleen verzonden kan worden als het PGP encrypted is.

Ik vertrouw liever op een IPSec VPN verbinding dan op PGP, zie o.a. deze pagina voor meer info over de veiligheid van PGP.

Beide systemen (net zoals alle systemen die door mensen worden gemaakt) zijn te kraken, welke je gebruikt als je zeker wilt weten dat je mails niet door niet geauthoriseerde mensen worden gelezen kan je beide technieken gebruiken. Natuurlijk is PGP makkelijker te gebruiken omdat je bij IPSec ook allerlei lastige dingen moet instellen.

Maar ik vertrouw liever op IPSec dan op PGP.

arjankoole @Beaves • 16 september 2003 06:59

ik bedoelde ook niet de 'kraakbaarheid' van IPSec, of dat PGP veiliger is. Maar de omzeilbaarheid. (vaag woord, van Dale noteerd u even?)

een IPSec VPN opzetten tussen twee bedrijven is een omslachtige methode, en kan nasty gevolgen hebben. Ik bedoelde eerder de methode waarbij alleen het verkeer tussen die twee bedrijven over IPSec loopt, de rest niet. (ben effe de naam kwijt hoe dat ook alweer heet, is effe geleden).

op het moment dat de primary mailserver van het andere bedrijf even niet bereikbaar is, zal de eerste namelijk naar de fallback gaan. Dat is te omzeilen door geen fallback mx in te stellen natuurlijk, maar de meeste mensen/bedrijven hechten aan een fallback toch wel waarde. De fallback is echter meestal een non-IPSec doos, en dus is de mail weer niet encrypted.

tuurlijk, allemaal puur theoretisch, maar wel reeel. met dit product heb je toch goede beveiliging. (PGP is echt niet slecht qua encryptie, 't is heel veilig) ongeacht wat er gebeurd.

dikkechill 15 september 2003 23:18

Wie garandeert mij dan dat de mail daadwerkelijk vercrypt wordt of dat de plain txt mailtjes niet ergens worden opgeslagen?

jp @dikkechill • 16 september 2003 00:36

Niemand.
Maar als je je ISP niet vertrouwd, is het zowiezo al tijd op op zoek te gaan naar een andere ISP.

Maar iets anders... als je in de gaten gehouden wordt door justitie, en je ISP moet al je email (en overig verkeer) doorsturen naar justitie. Normaal gesproken, als jij zelf PGP-encrypt, heeft niemand daar wat aan. Maar als je ISP dat voor je doet, kunnen zij het on-encrypted mailtje doorsturen naar justitie. Moreel en wettelijk verplicht enzo.

Dan heb je het idee dat je lekker veilig bent, maar ben je dat stiekem toch niet.

arjankoole @jp • 16 september 2003 07:11

Normaal gesproken, als jij zelf PGP-encrypt, heeft niemand daar wat aan. Maar als je ISP dat voor je doet, kunnen zij het on-encrypted mailtje doorsturen naar justitie. Moreel en wettelijk verplicht enzo

mwah, de meeste vormen van encryptie zijn met een beetje super computer zoals ze @NSA HQ hebben in een 10e van een seconde te kraken hoor. (was een tijdje geleden een leuke docu over op Discovery). onze eigen AIVD heeft waarschijnlijk wel een dergelijke superCray ergens...

De provider _kan_ waarschijnlijk de unencrypted emails niet eens opslaan, aangezien het systeem dat niet toelaat vermoed ik... daar komt bij dat je dan _altijd_ tapt, wat ook niet mag, de wet gebied het alleen als er een gerechtelijk bevel voor is.

daarnaast is er in de wet geen rekening gehouden met dergelijke systemen... en waar de wet geen uitkomst biedt... ben je vrij te implementeren.

jp @arjankoole • 16 september 2003 11:55

en waar de wet geen uitkomst biedt... ben je vrij te implementeren

Niet helemaal. Denk aan:
* handelen volgens de geest van de wet, niet volgens de letter.
* proefproces afdwingen

En ik doelde op het tappen in opdracht van justitie. Het is, afgezien van dat het niet mag, ook echt niet te doen voor een ISP om al het verkeer van iedereen te loggen.

arjankoole @jp • 16 september 2003 07:11

edit: crap, zeker met m'n slaperige kop gedubbelklikt op die submit knop.

perlboy 15 september 2003 22:25

dit is inderdaad een goede zet. een heleboel gebruikers snappen niet echt hoe key management werkt, of zaken als web of trust.
nu kunnen ze dus niet eens meer per ongeluk vergeten te encrypten of te signen.

s463042 15 september 2003 22:52

Voor de huis tuin en keuken gebruikers van outlook is er ook een heel handig tooltje voor GnuPG, nl.: http://www3.gdata.de/gpg/

Sorry voor de een beetje off-topic post

ATS 16 september 2003 07:48

Ik zie daar toch wel een probleem in. Wie gaat het keymanagement doen van zo'n systeem? Dat zou kennelijk een sysadmin moeten doen. Maar die sysadmin kent de persoon waar de medewerker mee te maken heeft niet, dus wordt het opbouwen van een web-of-trust erg lastig. Aan de andere kant is het ook link om de gebruiker het zelf te laten doen, omdat hij weinig van het systeem zal weten. Om een betrouwbaar web-of-trust te bouwen, moet je weten wat je doet, het is de basis van het hele public key systeem. Als je de verantwoordelijkheid van het encrypten en signen van je email al niet bij je eindgebruikers kan neerleggen, hoe kan je dat dan wel doen voor het keymanagement?

mindwise 16 september 2003 11:22

Voor een eenvoudige pgp variant kan je een account bij www.hushmail.com nemen. neem maar eens een kijkje.

Voor bedrijven iseen proxy een nette oplossing, echter zou ik voor bv het signen van email niet van een server willen afhangen.

Geef mij toch maar s/mime icm smartcards.

Grtz.

Verwijderd 16 september 2003 10:17

*sigh*

Dit is de oude discusie tussen dumb-node/smart-network tegenover de dumb-network/smart-node;

Dit is een voorbeeld van de eerste, en het werkt zelden...

Eens lang geleden werd dit onderzocht maar blijkbaar wil niemand luisteren...

Wat wil je met encryptie van email (persoonlijke communicatie) bereiken?
1. dat de email echt van de verzender(=persoon) komt. (sign)
2. dat de email niet veranderd is onderweg.
3. dat alleen de geadresseerde(=persoon) het kan lezen. (encrypt)

Daar wordt in dit systeem niet aan voldaan. Dat kan ook niet -- want alleen op applicatie niveau is genoeg informatie en controle mogelijk om hier aan te voldoen.

xipetotec @Verwijderd • 16 september 2003 13:16

Combineer het maar een met een Lotus Domino architectuur, en je hebt zekerheid over wie jou wat stuurt

xipetotec 16 september 2003 13:15

Wow wow wow wow wow.... ik zit net de documentatie door te lezen, en ik kan maar een ding zeggen... die jongens bij PGP hebben HELEMAAL gesnapt wat er nu NIET in een mooie geintegreerde oplossing op een doorzichtige manier bestaat ...... secure en encrypted mail en two way policies... geen user intervention.. dit gaat de bom worden in securemail.. snel stocks kopen

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (22)

Sorteer op:

Weergave: