Der einfachste Weg, um verschlüsselte E-Mails zu senden?

Um das neue Gesetz zum Schutz personenbezogener Daten von Massachusetts einzuhalten, muss mein Unternehmen (unter anderem) sicherstellen, dass personenbezogene Daten bei jedem Versand per E-Mail verschlüsselt werden. Was ist der einfachste Weg, dies zu tun? Grundsätzlich bin ich auf der Suche nach etwas, das den geringsten Aufwand seitens des Empfängers erfordert. Wenn möglich, möchte ich wirklich vermeiden, dass sie ein Programm herunterladen oder Schritte ausführen müssen, um ein Schlüsselpaar usw. zu generieren. Befehlszeilen-GPG-ähnliches Zeug ist also keine Option. Wir verwenden Exchange Server und Outlook 2007 als unser E-Mail-System.

Gibt es ein Programm, mit dem wir eine E-Mail einfach verschlüsseln und dann den Empfänger mit einem Schlüssel faxen oder anrufen können? (Oder kann unsere E-Mail einen Link zu unserer Website enthalten, der unseren öffentlichen Schlüssel enthält, den der Empfänger herunterladen kann, um die E-Mail zu entschlüsseln?) Wir müssen nicht viele dieser verschlüsselten E-Mails senden, aber die Personen, die sie senden, werden es tun Seien Sie nicht besonders technisch, also möchte ich, dass es so einfach wie möglich ist. Alle Recs für gute Programme wären toll. Vielen Dank.

Wir mussten mit unseren Kunden etwas Ähnliches für PCI durchmachen. Der beste Weg wäre, eine Version von PGP / GPG zu verwenden.

Nun gesagt, es ist wirklich nicht so schmerzhaft, wie Sie denken. Wir haben dies mit Hunderten von nicht-technischen Anwendern gemacht. Wir haben uns für zwei Produkte entschieden - das kostenlose GPG (das laut Kronick über GUI-Frontends verfügt) sowie die Bezahlung für PGP-Software. Wir haben einige wirklich gute Dokumentationen verfasst, die an unsere Kunden gesendet werden können, um sie in der Verwendung der von ihnen ausgewählten Software zu unterweisen. Außerdem haben wir unsere Kundenbetreuer in der grundlegenden Fehlerbehebung und in der Verwendung der Software geschult.

Dadurch wurden 95% der Probleme, auf die Clients stoßen, aus der IT-Warteschlange entfernt. Für die anderen 5% stellten wir IT-Ressourcen zur Beantwortung von Fragen zur Verfügung und riefen im schlimmsten Fall an, um dem Kunden zu helfen.

Als Alternative haben wir auch einige Lizenzen von winzip gekauft, damit wir die eingebaute AES-Verschlüsselung mit einer Passphrase verwenden können. Mit der kommerziellen PGP-Software kann eine verschlüsselte Datei erstellt werden, die auch nur über eine Passphrase geöffnet wird. Obwohl die ehrliche Verwendung von PGP so gut funktioniert hat, denke ich, dass ich diese Dateitypen nur zwei- oder dreimal im Jahr erstelle.

Wäre es nicht einfacher, eine Website mit den über SSL verschlüsselten Daten zu überprüfen, mit einem Knopf, um die Daten an ihrem Ende auszudrucken? Auf diese Weise übertragen Sie nichts und haben die Kontrolle über die Verbreitung der Daten.

Alles, was mit E-Mails zu tun hat, ist für Ihre Benutzer wahrscheinlich zu schwierig. Sie beinhalten die Schlüsselerstellung oder das Herunterladen eines Schlüsselbunds oder andere Dinge, die Benutzer als problematisch oder verwirrend empfinden. Ihre Supportkosten werden in die Höhe schnellen, es sei denn, die Benutzer geben nur frustriert auf.

Muss es nur während der Übertragung (SMTP / TLS) oder im Speicher / auch an den Endpunkten (PGP usw.) verschlüsselt werden?

In Zusammenarbeit mit ähnlichen Gesetzen habe ich im Allgemeinen PKI / SMTP / TLS zwischen zwei oder mehr Organisationen eingerichtet, die häufig private / geschützte Informationen senden / empfangen. Ich habe gerade einen Smarthost für jede Organisation eingerichtet, der den betreffenden Domänen entspricht, um E-Mails entweder über einen Standort-zu-Standort-VPN-Tunnel weiterzuleiten, falls zutreffend, oder SMTP / TLS zum Verschlüsseln der E-Mails bei der Übertragung mit Exchange zu verwenden.

Sie sollten sich Secure Messaging mit S / MIME und OWA unter Exchange Server 2007 SP1 ansehen Wenn Sie die Nachricht verschlüsseln möchten. Diese Lösung erfordert auch einen zusätzlichen Schritt, da die Benutzer die Verschlüsselungsschaltfläche auswählen müssen (es ist wahrscheinlich auch nicht legal, da Sie irgendwie davon ausgehen müssen, dass alle Benutzer niemals einen Fehler machen und eine E-Mail, die sie haben sollten, nicht verschlüsseln würden.) Andernfalls alle Sie müssen sicherstellen, dass die Ziele, an die Sie Massachusetts PII senden möchten, TLS verwenden (Sie müssen über diese Informationen verfügen, da Sie jeden überprüfen müssen, an den Sie Mass.PII gemäß CMR 17.04 senden können). Sie sollten wahrscheinlich auch eine Transportregel schreiben, die einen regulären Ausdruck verwendet, um nach Massen-PII zu suchen. Massachusetts PII ist eine Kombination aus Vor- und Nachnamen eines Bewohners, die mit einer der folgenden Angaben verknüpft ist: Führerscheinnummer, Kreditkartennummer oder Sozialversicherungsnummer.

Off-Topic aber Meerjungfrau ...

Hinweis für diejenigen, die dies lesen und denken, dass Sie das Glück haben, nicht in MA zu leben, Überraschung! Wenn Sie die persönlichen Daten eines Bewohners in Massachusetts speichern, unabhängig davon, ob Sie geschäftlich in Massachusetts präsent sind oder nicht, werden die in 201 CMR 17.00 festgelegten Strafen verhängt. Dies könnte 100 US-Dollar Rekordverlust kosten, mit einem Maximum von 50.000 US-Dollar pro "Vorfall". Das MA General Law 93H besagt, dass pro "Verstoß" eine Geldstrafe in Höhe von 5.000 US-Dollar verhängt wird. Was genau bedeutet das Ich glaube, niemand weiß es und wird es auch nicht, bis jemand davon getroffen wird.

Es ist wichtig anzumerken, dass dies kein einfaches Thema ist - hier ist der Inhalt einer Diskussion zwischen mir und Zypher über seine Antwort:

Ich: Wenn Sie eine Endbenutzeroption verwenden, können Sie haftbar gemacht werden. Im Gegensatz zu PCI müssen Sie gesetzlich dazu verpflichtet sein, bei vernünftigen Problemen auf dem Laufenden zu sein (z. B. wenn ein Benutzer die Technologie nicht verwendet).

Zypher: Verwenden Sie pgp, wenn der Benutzer Ihnen keinen Schlüssel gibt, senden Sie ihn nicht an ihn. Grundsätzlich sind sie gezwungen, es zu verwenden - in diesem Anwendungsfall - andernfalls können sie entweder A) die Daten nicht abrufen oder B) die Daten nicht lesen.

Ich: Wie können Sie sicherstellen, dass jeder Benutzer, der die Daten sendet, jede E-Mail verschlüsselt? Genau wie bei einer SMIME-Lösung müssen Sie festlegen, dass Ihre E-Mails nicht verschlüsselt werden können - oder fehlt mir etwas?

Zypher: Es ist ziemlich einfach, wenn Sie eine E-Mail senden, die Informationen enthält, die verschlüsselt werden müssen, ohne sie zu verschlüsseln. Nicht alles muss eine technische Lösung sein. Aus der Frage, dass dies nicht allzu oft gemacht wird, ist eine aufwändigere Lösung den Preis / Nutzen wahrscheinlich nicht wert. Wenn sie dies jeden Tag den ganzen Tag tun müssten, würde ich befürworten, überhaupt keine E-Mails zu verwenden und zu Online-Formularen über SSL zu wechseln.

me: IANAL - aber ich höre nicht auf sie, das Gesetz besagt effektiv, dass es eine technische Lösung sein muss - "aber ich hatte eine Politik" ist de facto ein Beweis dafür, dass eines dieser "einigermaßen vorhersehbaren" Probleme gemildert werden soll wurde nicht gemildert. Die Disziplinierung von Verstößen ist ebenfalls bereits gesetzlich geregelt. Schauen Sie sich diese Diskussion an informationweek.com/blog/main/archives/2009/02/…

Zypher: Eigentlich, wenn Sie 17.03.2.b lesen (hier: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf ), habe ich eine Richtlinie und habe meine Leute darin geschult, und Disziplinarmaßnahmen sind eigentlich vollkommen vertretbar. Tatsächlich wird eine technische Lösung nur erwähnt, um zu verhindern, dass entlassene Mitarbeiter auf Datensätze zugreifen. IAANAL (Ich bin auch kein Anwalt).

Ich: - 1,2,3 sind einfach Dinge, von denen erwartet wird, dass sie keine endgültigen Lösungen beinhalten. 2b ist der spezifische Wortlaut, der gilt (ich habe betrogen und einen Anwalt gefragt). Wenn Sie sagen müssen "Ich kann das verteidigen", werden Sie wahrscheinlich von den Gerichten niedergeschlagen. Bei Compliance-Problemen müssen Sie nachweisen, dass Sie die Richtlinien einhalten. Die regs sagen ausdrücklich "vorhersehbar". Wenn Sie vor Gericht stehen und sagen: "Wenn jemand gegen die Richtlinie verstößt, wird er entlassen", wird die Anklage einfach sagen: "Sie geben also zu, dass Sie einen Weg für einen Verstoß gegen diese Richtlinie vorausgesehen und keine angemessenen Maßnahmen ergriffen haben, um ihn zu beseitigen die Angelegenheit?"

Zypher: Verdammt, dass du betrogen hast. Nun müssen wir auch vernünftig definieren, vernünftig für mein Unternehmen (große multinationale Unternehmen mit mehr als 100.000 Mitarbeitern) ist nicht dasselbe wie für einen Tante-Emma-Laden. Aus dem gleichen Grund denke ich, dass wir uns zu weit vom Q & A-Mandat der Site entfernen ... was bedauerlich ist, da diese Diskussion einige gute Einsichten geliefert hat.

ich: es ist "einigermaßen vorhersehbar", nicht "einigermaßen sicher" oder sogar vernünftig zu implementieren. Denken Sie daran, dass die Verwendung von rot13 für die Personennamen und sonst nichts dem Standard entspricht, da dies eine Form der Verschlüsselung ist. Diese Diskussion ist nützlich, daher bearbeite ich meine Antwort, um sie einzuschließen, damit sie nicht verloren geht.

GPG hat Hilfsprogramme für Windows und Plugins für E-Mail-Clients (hauptsächlich Outlook und Eudora): http://openpgp.vie-privee.org/gnupg-win.htm Es wird Ihren Bedürfnissen entsprechen, da Sie hoffentlich nur mit der rechten Maustaste und klicken müssen "verschlüsseln", keine CLI erforderlich :)

Sie können das Djigzo-E-Mail-Verschlüsselungs-Gateway ausprobieren (Haftungsausschluss: Ich bin der Autor von Djigzo). Djigzo Email Encryption Gateway ist ein zentral verwalteter Open-Source-E-Mail-Server (MTA), der auf Open-Source-Standards basiert und eingehende und ausgehende E-Mails auf Gateway-Ebene verschlüsselt und entschlüsselt. Djigzo Email Encryption Gateway unterstützt derzeit zwei Verschlüsselungsstandards: S / MIME und PDF-verschlüsselte E-Mails. S / MIME bietet Authentifizierung, Nachrichtenintegrität und Nicht-Zurückweisung (unter Verwendung von X.509-Zertifikaten) sowie Schutz gegen das Abfangen von Nachrichten. S / MIME verwendet Public-Key-Verschlüsselung (PKI) für die Verschlüsselung und Signatur. Die PDF-Verschlüsselung kann als einfache Alternative zur S / MIME-Verschlüsselung verwendet werden. Mit PDF können Sie verschlüsselte PDF-Dokumente entschlüsseln und lesen. PDF-Dokumente können sogar Anhänge enthalten, die in das verschlüsselte PDF eingebettet sind.

Djigzo Email Encryption Gateway verfügt über eine integrierte Zertifizierungsstelle, mit der Sie X.509-Zertifikate für interne und externe Benutzer ausstellen können. Der externe Benutzer kann das Zertifikat mit jedem S / MIME-fähigen E-Mail-Client wie Outlook, Outlook Express, Lotus Notes, Thunderbird, Gmail usw. verwenden.

Da Djigzo Email Encryption Gateway als allgemeiner SMTP-E-Mail-Server fungiert, ist es mit vorhandenen E-Mail-Infrastrukturen wie Microsoft Exchange und Lotus Notes kompatibel. Djigzo kann mit einem der mitgelieferten Pakete für Ubuntu Linux, Debian, Red Hat und CentOS installiert werden. Eine betriebsbereite "Virtual Appliance" für VMware ESX und Workstation ist verfügbar.

Da es Open Source ist, kann es frei verwendet werden. Quellen und Binärpakete können von unserer Website (www.djigzo.com) heruntergeladen werden.

Tatsächlich besagt das Gesetz, dass die sensiblen Daten verschlüsselt werden müssen, nicht unbedingt die Nachricht. Handelt es sich bei den Daten um eine Datei (und ist dies in der Regel auch der Fall), ist es bei weitem am einfachsten, die Datei nur zu verschlüsseln.

Vorausgesetzt, Ihr Ziel ist eine äußerst einfach zu verwendende und zu implementierende Lösung, die für Ihren vielfältigen Kundenstamm geeignet ist.

Der Verschlüsselungsassistent des US Air Force Research Lab ( http://spi.dod.mil/ewizard.htm ) ist ein kostenloser, DoD-zertifizierter, einfacher Dateiverschlüsseler. Es verarbeitet Passwörter, Smartcards und Zertifikate. Sein sicheres Löschen kann die sensible Datei von einem öffentlichen Computer löschen.

Außer Java muss auf beiden Computern nichts installiert oder konfiguriert werden. Führen Sie einfach die JAR-Datei aus. Der Verschlüsselungsassistent kann unter Mac, Windows, Linux, Sun und anderen Betriebssystemen mit Oracle Java ausgeführt werden.

Mit EW können Sie von Null an eine Datei innerhalb einer Minute verschlüsseln und senden, und der Empfänger kann sie in derselben Zeit entschlüsseln (vorausgesetzt, Sie verwenden ein Zertifikat oder rufen die Person mit dem Kennwort an.)

Es gibt bessere unternehmensinterne Lösungen für große Unternehmen, aber wir haben nichts Besseres gefunden, das für so gut wie jeden überall und zu jeder Zeit funktioniert.