Thema "S/MIME-Verschlüsselung: geliebt oder gehasst ? Best Practice ? Alternativen ? kleinster gemeinsamer Nenner ?" in Technisches zu Software

S/MIME-Verschlüsselung: geliebt oder gehasst ? Best Practice ? Alternativen ? kleinster gemeinsamer Nenner ?

vogtsburger — Sun, 28 Nov 2021 12:12:36 GMT

Hallo Community,

... vielleicht finden manche Anwender oder IT-Spezialisten dieses Thema trivial oder langweilig oder sie fassen es lieber nicht an, da zu komplex 😉

... aber ich gebe zu,

... dass das Kryptographieformat S/MIME mir doch des Öfteren ziemlich kryptisch vorkommt
... und auch dass der Verschlüsselungsalgorithmus für die E-Mails (3DES, DES, RC2, AES,...) bringt mich gelegentlich aus dem Rhythmus bringt

Eigentlich mag ich die S/MIME-Verschlüsselung ja sehr gern

... besonders charmant finde ich, dass alle S/MIME-verschlüsselten Nachrichten so stark geschützt sind, dass nur der Absender und der Empfänger der Nachricht sie öffnen und lesen können. Jedenfalls ist es mir noch nicht gelungen, eine solche verschlüsselte Nachricht ohne die berechtigte Datev-SmartCard zu öffnen.

... leider lässt sich die S/MIME-Verschlüsselung nicht flächendeckend und bei allen E-Mail-Kontakten einsetzen

... daher würde es mich interessieren, ob und wie andere Kanzleien die S/MIME-Verschlüsselung nutzen

kanzleiintern mit Mitarbeitern
mit externen Partnern (StBs, RAs, Notare, FAs, Krankenkassen, Behörden, Technikern etc.)
mit Mandanten
mit sonstigen Kontaktpersonen

... gibt es einen kleinsten gemeinsamen Nenner für die S/MIME-Verschlüsselung ?

... gibt es Mittel und Wege, S/MIME-verschlüsselte E-Mails auch an Kontakte zu senden, die mit unbekannter Hard- oder Software arbeiten ?

... wie gehen andere Kanzleien mit dem 'Wildwuchs' an unterschiedlichen 'Sicherheits-Techniken' für den E-Mail-Verkehr um (Kennwörter in Einzel-Dateien, PDF-Container, ZIP-Dateien, PGP etc) ?

... gibt es evtl. allgemein einen kleinsten gemeinsamen Nenner, der eine 'rudimentäre' Sicherheit bietet und überall funktioniert ?

... übrigens, die S/MIME-verschlüsselten Nachrichten speichern wir lokal und unverschlüsselt, um nicht später in die 'Falle' zu laufen, dass wir die Nachrichten sogar selbst nicht mehr öffnen können.

... dazu noch eine kurze Frage:

können alte S/MIME-verschlüsselte E-Mails eigentlich noch geöffnet werden, wenn die Laufzeit der betreffenden SmartCard inzwischen verlängert wurde (ggfs. mit Änderung des Zertifikats) oder wenn inzwischen eine Folge-SmartCard eingesetzt wird ?

S/MIME-Verschlüsselung: geliebt oder gehasst ? Best Practice ? Alternativen ? kleinster gemeinsamer Nenner ?

theo — Sun, 28 Nov 2021 14:41:35 GMT

Der kleinste gemeinsame Nenner ist Transport Verschlüsselung.

S/MIME-Verschlüsselung: geliebt oder gehasst ? Best Practice ? Alternativen ? kleinster gemeinsamer Nenner ?

Steuererklärer — Mon, 29 Nov 2021 14:15:34 GMT

Eigentlich mag ich die S/MIME-Verschlüsselung ja sehr gern

Ich auch

... leider lässt sich die S/MIME-Verschlüsselung nicht flächendeckend und bei allen E-Mail-Kontakten einsetzen

Sobald der Kontakt ein S/MIME-Zertifikat hat, schon.

... gibt es einen kleinsten gemeinsamen Nenner für die S/MIME-Verschlüsselung ?

Bei Ende-zu-Ende-Verschlüsselung braucht es immer mindestens zwei individuelle Schlüsselpaare: eins für den Sender und eins für den Empfänger. Kleiner wirst du den Nenner nicht kriegen.

... gibt es Mittel und Wege, S/MIME-verschlüsselte E-Mails auch an Kontakte zu senden, die mit unbekannter Hard- oder Software arbeiten ?

Ja, wenn du den öffentlichen Schlüssel des Empfängers hast, ist es seine Entscheidung, mit welcher Hard- oder Software er arbeitet.

... übrigens, die S/MIME-verschlüsselten Nachrichten speichern wir lokal und unverschlüsselt, um nicht später in die 'Falle' zu laufen, dass wir die Nachrichten sogar selbst nicht mehr öffnen können.

Sehr klug.

... dazu noch eine kurze Frage:
können alte S/MIME-verschlüsselte E-Mails eigentlich noch geöffnet werden, wenn die Laufzeit der betreffenden SmartCard inzwischen verlängert wurde (ggfs. mit Änderung des Zertifikats) oder wenn inzwischen eine Folge-SmartCard eingesetzt wird ?

Ja, da auf den DATEV Smartcards die alten Schlüsselpaare nicht gelöscht oder überschrieben werden. Neue Schlüssel werden dazugespeichert. Der Ablauf der Zertifikate dürfte an der Entschlüsselbarkeit nichts ändern. Nur neue Signaturen wirst du nicht mehr anbringen können und neue Verschlüsselungen auch nicht mehr vornehmen.

S/MIME-Verschlüsselung: geliebt oder gehasst ? Best Practice ? Alternativen ? kleinster gemeinsamer Nenner ?

vogtsburger — Mon, 29 Nov 2021 15:07:53 GMT

... bei der Frage nach dem kleinsten gemeinsamen Nenner für die S/MIME-Verschlüsselung meinte ich eigentlich den Verschlüsselungs-Algorithmus

... etwa nach dem Motto:

"wenn das Mailprogramm kein "AES-256" kann, dann doch wenigstens "RC2" ... oder so ähnlich

Outlook 2010 scheint z.B. auch nur bis 3 zählen zu können .... ähm ... bis "3DES" 😉

Vielleicht haben ja Thunderbird und andere 'Kandidaten' ähnliche 'Vorlieben' und Einschränkungen

Es wäre angenehm, wenn man sich nicht nach einem Nachrichten-Austausch noch mühsam telefonisch mit dem Empfänger auf einen funktionierenden Verschlüsselungs-Algorithmus einigen müsste.

... im Zweifelsfall würde man dann eben eine etwas weniger starke oder 'moderne' Verschlüsselung verwenden. So jedenfalls die Theorie 😉

S/MIME-Verschlüsselung: geliebt oder gehasst ? Best Practice ? Alternativen ? kleinster gemeinsamer Nenner ?

Steuererklärer — Thu, 02 Dec 2021 17:06:37 GMT

Das hat mich jetzt auch interessiert. Zumindest für Outlook habe ich etwas gefunden:

https://www.gradenegger.eu/?p=10495

Ich frage mich nur, warum im Empfängerzertifikat die richtigen Algorithmen stehen sollten, das Zertifikat wurde ja nicht vom Mailclient des Empfängers erstellt, sondern von DATEV oder von xca oder so...

S/MIME-Verschlüsselung: geliebt oder gehasst ? Best Practice ? Alternativen ? kleinster gemeinsamer Nenner ?

drms — Thu, 02 Dec 2021 20:24:45 GMT

Hallo.

Wir nutzen eine Appliance, die sich transparent zwischen Exchange und Provider klemmt und für den User kanzleiintern transparent arbeitet und im Ausgang automatisch oder mit Betreffzeilentrigger verschlüsselt. Kann Smime, pdf und PGP. Könnte sogar eigene Zertifikate erzeugen und verteilen.

Recht zuverlässig, Opensource: https://www.ciphermail.info/

Habe mir auch andere Appliance-Lösungen angesehen - deutlich teurer und nur mit Abo etc.

Und der wesentliche Vorteil: Der Korrespondenzpartner muss nur eine signierte eMail senden und Ciphermail importiert das Zertifikat automatisch. D. h. ab dann kann jeder Mitarbeiter nach draußen verschlüsselt senden. Entsprechend werden alle eMails automatisch signiert und der Empfänger hat die individuelle Schlüssel zum Antworten.

Viele Grüße!

S/MIME-Verschlüsselung: geliebt oder gehasst ? Best Practice ? Alternativen ? kleinster gemeinsamer Nenner ?

vogtsburger — Fri, 03 Dec 2021 11:20:48 GMT

@Steuererklärer schrieb:
...
Das hat mich jetzt auch interessiert. Zumindest für Outlook habe ich etwas gefunden:
https://www.gradenegger.eu/?p=10495 ...

... eine interessante Quelle ... und keine Trivialliteratur 😉

... man bekommt wenigstens ein Gefühl für den technischen Hintergrund und für die Komplexität der diversen Algorithmen, ... obwohl man die Details nicht versteht 😉

... mich interessieren natürlich nur die praktisch einsetzbaren und umsetzbaren Technologien

... schon kanzleiintern fressen die diversen Verschlüsselungs-Tests viel Zeit.

... im 'Zusammenspiel' mit Mandanten oder anderen Kontaktpersonen würde sich dieser Aufwand noch multiplizieren, falls überhaupt durchführbar

Bei manchen Kontaktpersonen ist man schon froh, wenn sie E-Mails überhaupt 'irgendwie' senden und empfangen können

... perfekt wäre, wenn sich die diversen E-Mail-Programme schon mit 'Bordmitteln' und durch den bloßen Austausch von signierten E-Mails auf einen geeigneten Verschlüsselungs-Algorithmus 'einigen' könnten.

.. aber auch das ist schneller gesagt als getan.

Zwischen neuen und alten Outlook-Versionen scheint es zu funktionieren, jedenfalls bisher.

Andere E-Mail-Programme fasse ich nur selten an.

Interessant wäre allerdings noch der Austausch von S/MIME-verschlüsselten E-Mails via Browser