Op de link https://www.wuala.com/freemovequantumexchange is de beschrijving van een operationeel systeem te vinden dat rekenkundige, publieke sleutel en onconditioneel veilige email ondersteund op een gebruiksviendelijke manier gebaseerd op true quantum randomness en niet gebaseerd op passwords. Het is echter een proof-of-concept systeem en het is niet commercieel verkrijgbaar.

Ik ben toch bang dat je op PGP/GPG uit gaat komen, de grootte van het bericht zegt helemaal niets over de inhoud, ik kan 10mb aan word documenten in 100kb pgp email verzenden als het moet, meestal wordt standaard eerst compressie toegepast.

Daarnaast is de gebruikersvriendelijkheid zeer hoog en integreren deze pakketten makkelijk met bestaande email clients.
Ookal wordt tor of een ander proxy systeem gebruikt kan de exit node nog steeds zien van wie en naar wie de email verzonden is.

Met GPG heb je wel de mogelijkheid om de ontvanger van het bericht te verbergen, je kan dus een bericht voor één iemand sturen naar de gehele organisatie, alleen de client van de juiste ontvanger zal het bericht kunnen lezen en dus weten dat het voor hem bedoelt is.

Afhankelijk van wat precies de situatie en bedoeling is, is de meest eenvoudige opzet het gebruik van POP3 en IMAP onmogelijk te maken en over te stappen op POP3S en IMAPS, accepteer voor SMTP louter SSL of TLS, eventueel aangevuld met OpenPGP/GPG.

Dus jij gaat een grote onderneming adviseren op het gebied van veilige email en vervolgens ga je hier informatie vergaren. Ik zou niet graag jouw klant zijn.

PGP is een publiek encryptie systeem, privacy zit er niet in. Integendeel, public keys met naam en email adres kun je zonder meer downloaden vanaf publieke key servers.

Behalve verzender en ontvanger is ook het onderwerp leesbaar bij standaard PGP versleuteling.

Als je wilt verbergen dat er mail wordt uitgewisseld zul je een versleutelde verbinding moeten opzetten.

He Jacco,

Compliance is een lastig hoofdstuk zeker in combinatie met E-mail.

Ik wil de volgende afwegingen meegeven:
- Indien een bedrijf moet voldoen aan SOX dan dienen communicatie uitingen met financiele kenmerken en / of afspraken zoals email bewaard te worden.
- Daarnaast zijn er andere bewijs en bewaarplicht regels en wetgevingen (Mifid, BIBOB, Archiefwet, BASEL, WTx, etc) een onderneming kunnen verplichten om uitingen te bewaren.

Er zitten een aantal gedachten hierachter.
- Klant (tegen partij) beschermen.
- Door de wetgever inzicht in de financiele gezondheid van het bedrijf. (fraude en / of witte borden criminaliteit, etc).
- Via BIBOB inzicht te krijgen in het gedrag van klanten van het bedrijf.

Je moet dus goed gaan nadenken over de eisen voor integriteit, beschikbaarheid en vertrouwelijkheid.
Gaat het alleen maar om veilig transport naar een selecte groep andere bedrijven: --> Denk is na over TLS.
Gaat het over communicatie naar een grote groep klanten dan: TLS en / of PKI
Gaat het ook om bewijs en bewaarplicht: --> TLS en separate archief server.

Een oplossing als PGP gaat dus slecht werken in een organisatie met enig omvang. Dit doordat:
- Een bedrijf altijd de encryptie sleutels moet hebben omdat de wetgever langs kan komen. PGP is zodanig van opzet dat een (kwaadwillende) medewerker de sleutels kan veranderen. Je kan dan als bedrijf nx meer overleggen.
- Op het moment dat je emails al dan niet versleuteld b.v. 7 jaar moet bewaren (o.a. SOX) dan ontstaat het probleem van een email van 6 jaar oud. Sleutels zijn dan zeker veranderd. Hoe bewaar je al die sleutels, etc.

Dus voor een grote onderneming zal het een PKI of TLS oplossing worden en een separate archief server die op een eigen manier de email berichten zodanig moet opslaan dat deze niet meer te veranderen zijn (door kwaadwillende).

Dan heb je nog het probleem van remote werken (op onveilige netwerken en / of werkplekken).
Op vreemde werkplekken is het niet mogelijk om veilig te werken. (keylog, screendumps, etc).
Via vreemde netwerken is het afhankelijk hoe de informatie geclassificeerd is. Denk is na over virtuele werkplekken. (vmware, citrix, terminalserver, etc) hier draait dan een desktop met email van het bedrijf. Via een remote desktop / isc client / etc kan een SSL VPN tunel worden opgezet via internet.

Oplossing is beheersbaar. past binnen de standaarden van de organsiatie (immers het is een eigen virtuele pc met de eigen email client). Tevens te gebruiken voor thuiswerken.


SUC6

SOFAR RFV

PGP is een Public Key Infrastructure (PKI).
Op welke wijze en aan wie je public keys beschikbaar stelt is een overwogen keuze die je zelf maakt. Voor het zelfde geld richt je een centraal beheerde corporate pgp-server in, die niet voor derden buiten het bedrijf toegankelijk is, puur voor intern gebruik.

Tenzij je deze niet invult. E-mailversleutelingsoplossingen zijn beperkt tot de body van een bericht waarbij de berichtheaders ongemoeid worden gelaten.

Oplossingen als OpenPGP/GPG worden vooral gebruikt als authenticiteitswaarborg van de inhoud en voor bescherming van vertrouwelijke inhoud. Een versleutelde verbinding is noodzakelijk om te voorkomen dat onbevoegden aan gegevens kunnen komen zoals onder andere inlogcodes en gegevens verzonden in de mailheaders.

Probeer daar eens een reproduceerbaar voorbeeld van te geven, hoe een medewerker een sleutel kan veranderen zodat een bedrijf niets meer kan overleggen.

Door middel van een backup.

In de lijn van SOx, zouden bedrijven als Enron daar ook wel raad mee weten. In plaats van vrachtwagens vol dossiers te versnipperen simpelweg die server te wissen. Welke e-mail?

En OpenPGP/GPG is een PKI oplossing.

Kijk hier eens naar:
http://www.ironport.com/products/ironport_encryption.html
Kost een paar centen, dat wel.

Wel eens gedacht aan SecureZIP en SecureZIP Mail Gateway in combinatie met Shavlik NetChk Configure. Die oplossingen zijn ontwikkeld voor Windows Server en desktop.

En laten we ook de SafeGuard MailGateway niet vergeten...

http://go.utimaco.com/safeguard-mailgateway/

GPG, S/Mime,evt. PDFMail, en voor de liefhebbers SGPC en Webmail.