/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Kryptering af e-mail
Fra : Jens U. K.


Dato : 17-12-01 13:29

Jeg er faldet over et program der hedder ZixMail/ZixMail.Net, er der nogen der
har hørt om/har erfaringer med det?

Svj kan læse mig til handler det om at de (ZixIT) har en server stående som
ZixMail-programmet henter et transaktionscertifikat inkl. modtagerens nøgle fra.
Dette certifikat indeholder også tidspunktet for afsendelsen. I tilfælde af at
modtageren ikke bruger ZixMail, kommer ZixMail.net (en slags secure webmail) i
brug. Modtageren får en besked om at der er en e-mail fra en ZixMail-bruger og
bliver bedt om at gå ind på ZixIT's server og hente beskeden over en sikker
linie. Modtageren får mulighed for at svare på beskeden over ZixMail.net. Første
gang en ikke-ZixMail-modtager skal bruge ZixMail.net til at læse en besked fra
en ZixMail-afsender, skal modtageren svjv først registreres hos ZixMail.net med
e-mail-adressen som brugernavn og indtaste en adgangskode.
Selve kryperingen skulle være 3DES og de offentlige nøgler har 1024 bits
kryptering.
Kapaciteten af deres nøgleserver er for ZixMail 130+ mio. og for ZixMail.net 400
mio.

Er der nogen der kan se noget uhensigtsmæssigt ved denne fremgangsmåde?

--
/Jens Ulrik


 
 
Ole Michaelsen (17-12-2001)
Kommentar
Fra : Ole Michaelsen


Dato : 17-12-01 13:47

Jens U. K. wrote:
> Jeg er faldet over et program der hedder ZixMail/ZixMail.Net, er der nogen der
> har hørt om/har erfaringer med det?

[...]

> modtageren ikke bruger ZixMail, kommer ZixMail.net (en slags secure webmail) i
> brug. Modtageren får en besked om at der er en e-mail fra en ZixMail-bruger og
> bliver bedt om at gå ind på ZixIT's server og hente beskeden over en sikker

[...]


> Er der nogen der kan se noget uhensigtsmæssigt ved denne fremgangsmåde?
>
> --
> /Jens Ulrik

At du stoler på et firma uden at have vurderet om de er værd at
stole på? De kan aflure din adgangskode, læse dine breve, skrive
breve i dit navn, give andre adgang til at læse dine breve... Derudover
er der jo det med at du har breve liggende på en server du ikke selv
har kontrol over mht backup, clustering, RAID, brandbeskyttelse,
fysisk adgangskontrol etc. Kedeligt at miste vigtig korrespondance
fordi andre klokker i det.

Selv anvender jeg GnuPG (OpenPGP) og er rigtigt godt tilfreds. Bortset
fra at jeg gerne ville have nogen gad lave et steganografi-plugin til
mutt, så jeg kunne sende mp3-filer og billeder, som i virkeligheden
indeholdt krypterede beskeder...

OLE.

Jens U. K. (17-12-2001)
Kommentar
Fra : Jens U. K.


Dato : 17-12-01 15:24

Tak for hurtig respons Ole!

"Ole Michaelsen" <omic+usenet3@fys.ku.dk> skrev i en meddelelse
news:slrna1rq9v.85t.omic+usenet3@goddard.intra.orange.dk...
> Jens U. K. wrote:
> > Jeg er faldet over et program der hedder ZixMail/ZixMail.Net, er der nogen
der
> > har hørt om/har erfaringer med det?
>
> [...]
>
> > modtageren ikke bruger ZixMail, kommer ZixMail.net (en slags secure webmail)
i
> > brug. Modtageren får en besked om at der er en e-mail fra en ZixMail-bruger
og
> > bliver bedt om at gå ind på ZixIT's server og hente beskeden over en sikker
>
> [...]
>
>
> > Er der nogen der kan se noget uhensigtsmæssigt ved denne fremgangsmåde?
> >
> > --
> > /Jens Ulrik
>
> At du stoler på et firma uden at have vurderet om de er værd at
> stole på? De kan aflure din adgangskode, læse dine breve, skrive
> breve i dit navn, give andre adgang til at læse dine breve...

Tjah, hvis man skal bruge ZixMail.net-delen til at modtage e-mails fra
ZixMail-brugere så er jeg enig i at ZixIT kan aflure adgangskoden, og derefter
læse breve samt give andre adgang til at læse breve. Jeg er ikke enig i at de
kan sende breve i mit navn, de har jo ikke mulighed for at lave en falsk
signatur for mig.
Dem som allerede har ZixMail kan også sende fra en tilfældig web-browser via
ZixMail.net, og her er jeg lidt i tvivl om hvordan det foregår... man kan jo
håbe på at de så skal have deres private nøgle (på en diskette ell. lign.) og at
krypteringen foregår via en komponent som afvikles lokalt i browseren. På den
måde for ZixIT aldrig adgang til den private nøgle, og kan altså ikke lave
falske signaturer.

> Derudover
> er der jo det med at du har breve liggende på en server du ikke selv
> har kontrol over mht backup, clustering, RAID, brandbeskyttelse,
> fysisk adgangskontrol etc. Kedeligt at miste vigtig korrespondance
> fordi andre klokker i det.
>
Her beskriver de dog at alle e-mails ligger krypteret med 3DES. De tager ikke
backup men har et redundant disksystem. E-mails ligger max. 21 dage på deres ser
ver, derefter slettes de. ZixMail-brugeren får besked når e-mailen er læst eller
slettet. Det virker som om de har strenge fysiske adgangskrav, nye medarbejdere
bliver først ansat efter div. baggrundsundersøgelser, der bliver udført
kvartalsmæssige sikkerheds-afprøvninger af et uafhængigt firma...
Det *virker* nu som om der er meget godt styr på det.

> Selv anvender jeg GnuPG (OpenPGP) og er rigtigt godt tilfreds.
>
Det er sikkert et udemærket program, men det kan jo ikke rigtig sammenlignes med
ZixIT's program/service, der jo i teorien ikke kræver noget som helst af
modtageren for at vedkommende kan dekryptere og læse e-mails sendt fra en bruger
af ZixMail.

/Jens Ulrik


Niels Andersen (21-12-2001)
Kommentar
Fra : Niels Andersen


Dato : 21-12-01 11:01

"Jens U. K." <1jk2@3bsopatent4.dk> wrote in message
news:rylT7.1108$4X4.3229@news.get2net.dk...
> I tilfælde af at
> modtageren ikke bruger ZixMail, kommer ZixMail.net (en slags secure
webmail) i
> brug. Modtageren får en besked om at der er en e-mail fra en
ZixMail-bruger og
> bliver bedt om at gå ind på ZixIT's server og hente beskeden over en
sikker
> linie. Modtageren får mulighed for at svare på beskeden over ZixMail.net.
Første
> gang en ikke-ZixMail-modtager skal bruge ZixMail.net til at læse en besked
fra
> en ZixMail-afsender, skal modtageren svjv først registreres hos
ZixMail.net med
> e-mail-adressen som brugernavn og indtaste en adgangskode.

Regn ikke med, at jeg gider gå ind på deres webside for at læse en mail til
mig. Jeg vil nok gå ud fra, at det er spam.
Skulle jeg komme så langt, så kan du være *ret* sikker på, at når de beder
mig registrere mig, så er jeg smuttet igen.

> Er der nogen der kan se noget uhensigtsmæssigt ved denne fremgangsmåde?

Men du tænkte måske kun *sikkerhedsmæssigt*, siden du spørger her? :)
Well, jeg synes min kommentar er relevant alligevel. :) Det er ikke kun
sikkerheden det drejer sig om, når man laver sikkerheds-systemer. I den
sidste ende drejer det hele sig jo om mennesker. :)

--
Mvh.

Niels Andersen



Søg
Reklame
Statistik
Spørgsmål : 177550
Tips : 31968
Nyheder : 719565
Indlæg : 6408823
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste