Kandu.dk - Kryptering af e-mail


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Kryptering af e-mail
Fra : Jens U. K.

Dato : 17-12-01 13:29

Jeg er faldet over et program der hedder ZixMail/ZixMail.Net, er der nogen der
har hørt om/har erfaringer med det?

Svj kan læse mig til handler det om at de (ZixIT) har en server stående som
ZixMail-programmet henter et transaktionscertifikat inkl. modtagerens nøgle fra.
Dette certifikat indeholder også tidspunktet for afsendelsen. I tilfælde af at
modtageren ikke bruger ZixMail, kommer ZixMail.net (en slags secure webmail) i
brug. Modtageren får en besked om at der er en e-mail fra en ZixMail-bruger og
bliver bedt om at gå ind på ZixIT's server og hente beskeden over en sikker
linie. Modtageren får mulighed for at svare på beskeden over ZixMail.net. Første
gang en ikke-ZixMail-modtager skal bruge ZixMail.net til at læse en besked fra
en ZixMail-afsender, skal modtageren svjv først registreres hos ZixMail.net med
e-mail-adressen som brugernavn og indtaste en adgangskode.
Selve kryperingen skulle være 3DES og de offentlige nøgler har 1024 bits
kryptering.
Kapaciteten af deres nøgleserver er for ZixMail 130+ mio. og for ZixMail.net 400
mio.

Er der nogen der kan se noget uhensigtsmæssigt ved denne fremgangsmåde?

--
/Jens Ulrik

Ole Michaelsen (17-12-2001)

Kommentar
Fra : Ole Michaelsen

Dato : 17-12-01 13:47

Jens U. K. wrote:
> Jeg er faldet over et program der hedder ZixMail/ZixMail.Net, er der nogen der
> har hørt om/har erfaringer med det?

[...]

> modtageren ikke bruger ZixMail, kommer ZixMail.net (en slags secure webmail) i
> brug. Modtageren får en besked om at der er en e-mail fra en ZixMail-bruger og
> bliver bedt om at gå ind på ZixIT's server og hente beskeden over en sikker

[...]

> Er der nogen der kan se noget uhensigtsmæssigt ved denne fremgangsmåde?
>
> --
> /Jens Ulrik

At du stoler på et firma uden at have vurderet om de er værd at
stole på? De kan aflure din adgangskode, læse dine breve, skrive
breve i dit navn, give andre adgang til at læse dine breve... Derudover
er der jo det med at du har breve liggende på en server du ikke selv
har kontrol over mht backup, clustering, RAID, brandbeskyttelse,
fysisk adgangskontrol etc. Kedeligt at miste vigtig korrespondance
fordi andre klokker i det.

Selv anvender jeg GnuPG (OpenPGP) og er rigtigt godt tilfreds. Bortset
fra at jeg gerne ville have nogen gad lave et steganografi-plugin til
mutt, så jeg kunne sende mp3-filer og billeder, som i virkeligheden
indeholdt krypterede beskeder...

OLE.

Jens U. K. (17-12-2001)

Kommentar
Fra : Jens U. K.

Dato : 17-12-01 15:24

Tak for hurtig respons Ole!

"Ole Michaelsen" <omic+usenet3@fys.ku.dk> skrev i en meddelelse
news:slrna1rq9v.85t.omic+usenet3@goddard.intra.orange.dk...
> Jens U. K. wrote:
> > Jeg er faldet over et program der hedder ZixMail/ZixMail.Net, er der nogen
der
> > har hørt om/har erfaringer med det?
>
> [...]
>
> > modtageren ikke bruger ZixMail, kommer ZixMail.net (en slags secure webmail)
i
> > brug. Modtageren får en besked om at der er en e-mail fra en ZixMail-bruger
og
> > bliver bedt om at gå ind på ZixIT's server og hente beskeden over en sikker
>
> [...]
>
>
> > Er der nogen der kan se noget uhensigtsmæssigt ved denne fremgangsmåde?
> >
> > --
> > /Jens Ulrik
>
> At du stoler på et firma uden at have vurderet om de er værd at
> stole på? De kan aflure din adgangskode, læse dine breve, skrive
> breve i dit navn, give andre adgang til at læse dine breve...

Tjah, hvis man skal bruge ZixMail.net-delen til at modtage e-mails fra
ZixMail-brugere så er jeg enig i at ZixIT kan aflure adgangskoden, og derefter
læse breve samt give andre adgang til at læse breve. Jeg er ikke enig i at de
kan sende breve i mit navn, de har jo ikke mulighed for at lave en falsk
signatur for mig.
Dem som allerede har ZixMail kan også sende fra en tilfældig web-browser via
ZixMail.net, og her er jeg lidt i tvivl om hvordan det foregår... man kan jo
håbe på at de så skal have deres private nøgle (på en diskette ell. lign.) og at
krypteringen foregår via en komponent som afvikles lokalt i browseren. På den
måde for ZixIT aldrig adgang til den private nøgle, og kan altså ikke lave
falske signaturer.

> Derudover
> er der jo det med at du har breve liggende på en server du ikke selv
> har kontrol over mht backup, clustering, RAID, brandbeskyttelse,
> fysisk adgangskontrol etc. Kedeligt at miste vigtig korrespondance
> fordi andre klokker i det.
>
Her beskriver de dog at alle e-mails ligger krypteret med 3DES. De tager ikke
backup men har et redundant disksystem. E-mails ligger max. 21 dage på deres ser
ver, derefter slettes de. ZixMail-brugeren får besked når e-mailen er læst eller
slettet. Det virker som om de har strenge fysiske adgangskrav, nye medarbejdere
bliver først ansat efter div. baggrundsundersøgelser, der bliver udført
kvartalsmæssige sikkerheds-afprøvninger af et uafhængigt firma...
Det *virker* nu som om der er meget godt styr på det.

> Selv anvender jeg GnuPG (OpenPGP) og er rigtigt godt tilfreds.
>
Det er sikkert et udemærket program, men det kan jo ikke rigtig sammenlignes med
ZixIT's program/service, der jo i teorien ikke kræver noget som helst af
modtageren for at vedkommende kan dekryptere og læse e-mails sendt fra en bruger
af ZixMail.

/Jens Ulrik

Niels Andersen (21-12-2001)

Kommentar
Fra : Niels Andersen

Dato : 21-12-01 11:01

"Jens U. K." <1jk2@3bsopatent4.dk> wrote in message
news:rylT7.1108$4X4.3229@news.get2net.dk...
> I tilfælde af at
> modtageren ikke bruger ZixMail, kommer ZixMail.net (en slags secure
webmail) i
> brug. Modtageren får en besked om at der er en e-mail fra en
ZixMail-bruger og
> bliver bedt om at gå ind på ZixIT's server og hente beskeden over en
sikker
> linie. Modtageren får mulighed for at svare på beskeden over ZixMail.net.
Første
> gang en ikke-ZixMail-modtager skal bruge ZixMail.net til at læse en besked
fra
> en ZixMail-afsender, skal modtageren svjv først registreres hos
ZixMail.net med
> e-mail-adressen som brugernavn og indtaste en adgangskode.

Regn ikke med, at jeg gider gå ind på deres webside for at læse en mail til
mig. Jeg vil nok gå ud fra, at det er spam.
Skulle jeg komme så langt, så kan du være *ret* sikker på, at når de beder
mig registrere mig, så er jeg smuttet igen.

> Er der nogen der kan se noget uhensigtsmæssigt ved denne fremgangsmåde?

Men du tænkte måske kun *sikkerhedsmæssigt*, siden du spørger her? :)
Well, jeg synes min kommentar er relevant alligevel. :) Det er ikke kun
sikkerheden det drejer sig om, når man laver sikkerheds-systemer. I den
sidste ende drejer det hele sig jo om mennesker. :)

--
Mvh.

Niels Andersen

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste