Hallo Holger, hallo zusammen,
was sich zunächst als gute Idee herausstellte, macht es am Ende doch
wieder schwierig:
Wie hoch stecke ich die Hürden für die Kollegen?
S/Mime -> macht es einfacher, weil die Leute "blind" vertrauen,
funktioniert meist out-of-the box, vor allem in outlook.
OpenPGP(gpg) -> ist sicher pädagogisch wertvoller, weil es die Leute zum
Denken zwingt
Belwue hat mir prompt geantwortet:
* Der webclient kann nur S/MIME. Und das stellt mich vor die Frage, ob
ich wegen GPG-Einführung auch gleich weg von belwue und hin zu Horde
intern gehen muss...
* im Detail:
* Oder bedeutet S/Mime bei belwue, dass wir unsere Zertifikate bei
extern (kostenlos oder gegen Geld) signieren lassen müssen und
dann einbinden?
Das ist natürlich ebenfalls möglich und funktioniert auch. Das ist
der einfachste Fall.
* Oder bedeutet S/Mime bei belwue, dass wir selbst-signierte
Zertifikate verwenden müssen?
Müssen nicht, aber können. Mit einem installiertem selbst-signiertem
Domain-Zertifikat kann sich ein Benutzer in Webmail ein S/MIME
Zertifikat erzeugen. Dieses ist nur innerhalb der eigenen Domain
gültig und sinnvoll nur mit Webmail nutzbar.
* Bedeutet S/Mime bei belwue, dass belwue eine (trusted)
Zertifikat-CA darstellt, gegenüber dem wir unsere zertifizieren
können?
BelWü betreibt selbst keine X.509 CA. CommuniGate hat serverseitig
eine CA-Funktionalität implementiert, mit der S/MIME Zertifikate für
die Adressen einer Maildomain ausgestellt werden können. Damit diese
allgemein gültig sind, muss für die Domain ein sog.
Issuer-Zertifikat installiert werden, das von einer offiziellen CA
ausgestellt wurde. Leider haben wir noch kein funktionierendes
Beispiel einer funktionierenden Domain-CA, d.h. keiner unserer Kunden
hat sich bislang an solch eine Konfiguration gewagt. Ich weiß auch
leider nicht, welche kommerzielle CA gültige Issuer-Zertifikate
ausstellt und wie viel sie kosten.
Am 10.02.2015 um 15:04 schrieb Holger Baumhof:
GPG ist eine "selfmade" GEschichte: ich erstelle meine
Schlüsselpaar, ich veröffentliche meinen Schlüssel und ich signiere
mit meinem Schlüssel, den nur ich habe, meine emails. Außerdem
Unterschreibe ich die Schlüssel derer, die ich kenne. Web of Trust.
Ich mache nur GPG.
Das Video ist jetzt rum: und man weiß noch immer nicht, ob S/Mime
oder GPG ..aber wenigstens hab ich jemand 9 Minuten beim sächseln
zugehört (seibergreim .. heiß: Cybercrime).
Ich habe eine Folie gefunden, wo PGP/GPG angesprochen wird, nicht aber
S/MIME. Legt ersteres nahe.
Oder bedeutet S/Mime bei belwue, dass wir selbst-signierte
Zertifikate verwenden müssen?
.. das wiederspricht der Idee etwas sicher zu machen. Wenn dann mußt
du eine CA aufbauen und jedem Lehrer sagen, wie er deine CA in den
Mailclient integriert .. dann ist das nciht mehr so hübsch
"einfach".
Daher: GPG
Ich verstehe: GPG ist das Tool der Wahl für jemanden wie dich oder mich,
wenn man Web of Trust versteht
(http://www.openpgp-schulungen.de/kurzinfo/ lehrt mich, dass ich es doch
nicht durchdringe...)
Aber vom Workflow her, wenn man tatsächlich verschlüsseln will und nicht
nur signieren:
* Ob jetzt jeder Lehrer ein selbst-signiertes S/MIME Zertifikat
verwendet und daher in jedem MailClientsystem unser Domain-Zertifikat
einbauen muss oder
* Ob jeder Lehrer einen GPG-Schlüssel verwendet und vorher jeden (oder
nur einen?) anderen Lehrer bei sich "validieren" muss.
ist doch Jacke wie Hose, oder?
Natürlich ist GPG besser :) Aber.
Natürlich ist S/MIME bei Verwendung eines global verifizierten
CA-Zertifikats viel angenehmer in der Einrichtung. Für jeden Client muss
man nur sein Zertifikat einbauen - fertig.
Hm, ich bin nicht schlauer, was ich den Kollegen raten soll.
Mal ein Frage an die GPG-Schlauen:
Kann ich einen Workshop anbieten, bei dem jeder Kollege ein
GPG-Zertifikat erzeugt und mit einem Befehl gleich alle Kollegen (die
auch einen Schlüssel besitzen) validieren?
(Natürlich ist ein zwischenschritt nötig, z.b. darüber, dass *ich* mit
meinem Schlüssel alle Kollegen unterschreibe...)
Geht das oder nicht? Wenn ja - dann kann ich selbst nach lesen, wie es
funktioniert.
Danke und Grüße, Tobias
_______________________________________________
linuxmuster-user mailing list
[email protected]
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
