Şifreli e-posta göndermenin en kolay yolu?

Massachusetts'in yeni kişisel bilgi koruma yasalarına uymak için, şirketimin (diğer şeylerin yanı sıra) kişisel bilgilerin e-posta ile gönderildiği her zaman şifrelenmesini sağlaması gerekir. Bunu yapmanın en kolay yolu nedir? Temel olarak, alıcının en az çaba gerektirecek bir şey arıyorum. Mümkünse, gerçekten bir program indirmek veya bir anahtar çifti, vb oluşturmak için herhangi bir adım atmak zorunda önlemek istiyorum. Yani komut satırı GPG türü şeyler bir seçenek değildir. Exchange Server ve Outlook 2007'yi e-posta sistemimiz olarak kullanıyoruz.

Bir e-postayı kolayca şifrelemek ve daha sonra alıcıyı bir anahtarla fakslamak veya aramak için kullanabileceğimiz bir program var mı? (Veya e-posta adresimiz, alıcının postanın şifresini çözmek için indirebileceği genel anahtarımızı içeren web sitemize bir bağlantı içerebilir?) Bu şifreli e-postaların çoğunu göndermemiz gerekmeyecek, ancak gönderecek kişiler özellikle teknik değil, bu yüzden olabildiğince kolay olmasını istiyorum. İyi programlar için herhangi bir referans harika olurdu. Teşekkürler.

PCI için müşterilerimizle benzer bir şeyden geçmek zorunda kaldık. En iyi yol, PGP / GPG'nin bazı sürümlerini kullanmaktır.

Şimdi söyleniyor, gerçekten düşündüğünüz kadar acı verici değil. Bunu yüzlerce teknik olmayan kullanıcıyla yaptık. Yaptığımız iki ürün seçmekti - ücretsiz GPG (Kronick eyaletlerinin GUI ön uçları var) ve PGP yazılımı için ödeme. Müşterilerimize, seçtikleri yazılımı nasıl kullanacaklarını öğreten ve Hesap Yöneticilerimizi temel sorun giderme ve yazılımı nasıl kullanacakları konusunda eğiten gerçekten iyi bazı belgeler yazdık.

Bu, istemcilerin BT kuyruğu dışında karşılaştıkları sorunların% 95'ini korumuştur. Diğer% 5 için, BT kaynaklarını soruları cevaplamak için kullanılabilir hale getirdik ve en kötü durumda müşteriye yardım etmek için bir çağrı yaptık.

Alternatif olarak, yerleşik AES şifrelemesini bir geçiş deyimiyle kullanabilmemiz için bazı winzip lisansları da aldık. Ticari PGP yazılımı yalnızca parola ile açılan şifrelenmiş bir dosya oluşturma yeteneğine sahiptir. Her ne kadar dürüst PGP kullanarak çok iyi çalıştı rağmen ben sadece yılda 2 veya 3 kez bu tür dosyaları oluşturmak düşünüyorum.

Verileri sonuna kadar yazdırmak için bir düğme ile SSL ile şifrelenmiş bir web sitesini kontrol etmeleri daha kolay olmaz mıydı? Bu şekilde hiçbir şey iletmezsiniz ve verilerin yayılmasını kontrol edersiniz.

E-posta ile her şey kullanıcılarınız için çok zor olacaktır; anahtar oluşturma veya bir anahtarlık veya kullanıcıların bir güçlük veya kafa karıştırıcı bulacağı diğer şeyleri indirmeyi içereceklerdir. Kullanıcılar hayal kırıklığından vazgeçmedikçe, destek maliyetleriniz artacak.

Sadece geçişte (SMTP / TLS) veya depolamada / uç noktalarda (PGP, vb.) Şifrelenmesi mi gerekiyor?

Benzer mevzuatlarla çalışarak, genellikle özel / korumalı bilgi gönderen / alan iki veya daha fazla kuruluş arasında PKI / SMTP / TLS kurdum; Her kuruluşta, postayı geçerliyse bir siteden siteye VPN tüneli üzerinden yönlendirmek için söz konusu etki alanlarıyla eşleşen bir akıllı ana bilgisayar ayarladım veya Exchange ile aktarılan postayı şifrelemek için SMTP / TLS kullandım.

Exchange Server 2007 SP1'de S / MIME ve OWA ile Güvenli Mesajlaşma'ya göz atmalısınız Mesajı şifrelemek istiyorsanız. Bu çözüm ayrıca, kullanıcıların şifreleme düğmesini seçmeleri gerektiğinden fazladan bir adım gerektirir (bir şekilde tüm kullanıcılarınızın asla bir hata yapamayacağını ve sahip olmaları gereken bir e-postayı şifrelemeyeceğini varsaymanız muhtemelen yasal değildir). yapmanız gereken, Massachusetts PII'yi göndermek istediğiniz hedeflerin TLS kullandığından emin olmaktır (CMR 17.04'e göre Mass.PII'yi gönderebileceğiniz herkesi araştırmanız gerektiği için bu bilgilere sahip olmanız gerekir). Ayrıca Mass PII'yi aramak için normal ifadeyi kullanan bir aktarım kuralı da yazmalısınız. Massachusetts PII, aşağıdakilerden birine bağlı bir mukimin adının ve soyadının bir kombinasyonu olarak tanımlanır: Sürücü ehliyeti numarası, kredi kartı numarası veya Sosyal Güvenlik numarası.

Konu dışı ama germaine ...

Bunu okuyan ve MA, Suprise'da yaşamadığınız için şanslı olduğunuzu düşünenler için not! Massachusetts'te ikamet eden bir kişinin kişisel bilgilerini, Massachusetts'te ticari faaliyetiniz olup olmadığına bakılmaksızın saklarsanız, 201 CMR 17.00'da belirtilen cezalara tabidir. bu da "olay" başına maksimum 50 bin dolarlık kayıpla 100 dolarlık bir kayba mal olabilir. MA 93H Genel Kanunu, "ihlal" başına 5.000 ABD Doları para cezası verileceğini belirtmektedir. Bu tam olarak ne anlama geliyor? Birisi ona çarpana kadar kimsenin bildiğini ve yapmayacağını sanmıyorum.

Bunun kolay bir konu olmadığını belirtmek önemlidir - işte kendim ve Zypher arasında cevabı hakkında bir tartışmanın rızası:

Ben: Herhangi bir son kullanıcı seçeneğini kullanmak sizi yükümlülük altına sokar, PCI'nin aksine yasalar makul sorunlar için kancada olmanızı gerektirir (joe kullanıcısı teknolojiyi kullanmıyor gibi)

Zypher: kullanıcı size bir anahtar vermezse pgp kullanarak onlara göndermezsiniz. Temel olarak kullanmak zorunda kalıyorlar - bu kullanım durumunda - aksi takdirde ya A) Verileri alamıyorlar ya da B) verileri okuyamıyorlar.

ben: verileri gönderen her kullanıcının her e-postayı şifrelemesini nasıl sağlayabilirsiniz? Tıpkı bir SMIME çözümü gibi, e-postanızı şifrelemeyi seçmelisiniz, zorlanamaz - yoksa bir şey mi kaçırıyorum?

Zypher: Şifrelenmeden şifrelenmesi gereken bilgileri içeren bir e-posta gönderirseniz, neden için kovuldunuz (iradenin bunun işsizlik olmadığı anlamına gelir). Her şeyin teknik bir çözüm olması gerekmez. Sorudan bu çok sık yapılmayacak, bu nedenle daha ilgili bir çözüm muhtemelen maliyet / faydaya değmez. Bunu her gün bütün gün yapmaları gerekiyorsa, e-posta kullanmamayı ve SSL üzerinden çevrimiçi formlara geçmeyi savunurdum.

ben: IANAL - ama onları dinlemeye takılıp kaldım, yasa etkili bir şekilde teknik bir çözüm olması gerektiğini söylüyor- "ama bir politikam vardı", bu "makul olarak öngörülebilir" konulardan birinin hafifletmeniz gerektiği gerçeğinin kanıtı hafifletilmedi. Disiplin ihlal edenler de şimdiden yasaların bir parçası. Bu tartışma bilgilerine bir göz atınweek.com/blog/main/archives/2009/ 02/…

Zypher: Aslında 17.03.2.b'yi okuduysanız (burada: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf ) Bir politikam var ve insanlarımı eğitmiş olmanın yanı sıra disiplin önlemleri almak da mükemmel bir şekilde savunulabilir. Aslında teknik çözümün tek sözü, feshedilen çalışanların kayıtlara erişmesini önlemek içindir. IAANAL (Ben de Avukat Değilim).

ben: - 1,2,3 basit çözümler kesin çözümler dahil olması beklenen şeylerdir, 2b geçerli özel bir ifadedir (hile ve bir avukat sordum). "Bunu savunabilirim" demek zorunda kalırsanız, mahkemeler muhtemelen sizi ezecektir. Uyumluluk sorunları ile regleri takip ettiğinizi kanıtlamanız gerekir. Regs özellikle "öngörülebilir" diyor. Mahkemede ayağa kalkarsanız ve "birisi kovulacak politikayı bozarsa" kovuşturması basitçe "" Bu politikanın ihlal edilmesi için bir yol öngördüğünüzü ve kaldırılması için makul bir önlem almadığınızı kabul edersiniz. sorun?"

Zypher: Aldattığın için sana lanet olsun. Şimdi de şirketimiz için makul (makul çok büyük w / 100k + çalışanlar) bir anne ve pop dükkanı ile aynı değil makul de tanımlamak zorundayız. Ama aynı şekilde, sitenin Soru-Cevap görevinden çok uzakta olduğumuzu düşünüyorum ... bu talihsiz bir durum çünkü bu tartışma iyi bir fikir verdi.

ben: "makul olarak öngörülebilir" değil "makul derecede güvenli" ve hatta uygulanması makul. Yasal olarak, kişilerin adlarında rot13 kullanmanın ve başka bir şey kullanmanın, bir şifreleme biçimi olan standart nedenden ötürü uygulandığını unutmayın. Bu tartışma faydalıdır, bu yüzden cevabımı içerecek şekilde düzenleyeceğim, böylece kaybolmayacak.

GPG, e-posta istemcisi için pencereler ve eklentiler için yardımcı programlara sahiptir (çoğunlukla görünüm ve eudora): http://openpgp.vie-privee.org/gnupg-win.htm Umarım sadece sağ tıklamanız ve "şifrelemek", CLI gerekmez :)

Djigzo e-posta şifreleme ağ geçidini deneyebilirsiniz (feragatname: Ben Djigzo'nun yazarıyım). Djigzo E-posta Şifreleme Ağ Geçidi, gelen ve giden e-postalarınızı ağ geçidi düzeyinde şifreleyen ve şifresini çözen açık kaynak standartlarına dayanan açık kaynaklı, merkezi olarak yönetilen bir e-posta sunucusudur (MTA). Djigzo Email Encryption Gateway şu anda iki şifreleme standardını desteklemektedir: S / MIME ve PDF şifreli e-posta. S / MIME, kimlik doğrulama, mesaj bütünlüğü ve reddedilmeme (X.509 sertifikaları kullanarak) ve mesaj müdahalesine karşı koruma sağlar. S / MIME, şifreleme ve imzalama için ortak anahtar şifrelemesi (PKI) kullanır. PDF şifreleme, S / MIME şifrelemeye hafif bir alternatif olarak kullanılabilir. PDF, şifrelenmiş PDF belgelerinin şifresini çözmenizi ve okumanızı sağlar. PDF belgeleri şifreli PDF içine gömülü ekler de içerebilir.

Djigzo E-posta Şifreleme Ağ Geçidi, dahili ve harici kullanıcılar için X.509 sertifikaları vermek için kullanabileceğiniz yerleşik bir CA'ya sahiptir. Harici kullanıcı sertifikayı Outlook, Outlook express, Lotus Notes, Thunderbird, Gmail vb.Gibi S / MIME özellikli herhangi bir e-posta istemcisiyle kullanabilir.

Djigzo E-posta Şifreleme Ağ Geçidi, genel bir SMTP e-posta sunucusu olarak işlev gördüğünden, Microsoft Exchange ve Lotus Notes gibi mevcut e-posta altyapılarıyla uyumludur. Djigzo, Ubuntu Linux, Debian, Red Hat ve CentOS için sağlanan paketlerden biri kullanılarak kurulabilir. VMware ESX ve Workstation için çalıştırılmaya hazır bir "Sanal Cihaz" mevcuttur.

Açık kaynak olduğu için serbestçe kullanılabilir. Kaynaklar ve ikili paketler web sitemizden indirilebilir (www.djigzo.com).

Aslında, yasa, mesajı değil, hassas verileri şifrelediğini söylüyor. Veriler bir dosyaysa (ve genellikle öyleyse), en kolay yöntem sadece dosyayı şifrelemektir.

Hedefinizin, farklı müşteri tabanınızda çalışacak son derece kolay bir kullanım ve dağıtım çözümü olduğunu varsayarsak ....

ABD Hava Kuvvetleri Araştırma Laboratuvarı'nın Şifreleme Sihirbazı ( http://spi.dod.mil/ewizard.htm ) ücretsiz, DoD akredite, basit bir dosya şifreleyici. Parolaları, akıllı kartları ve sertifikaları işler . Güvenli Silme, duyarlı dosyayı ortak bir bilgisayardan silebilir.

Java'ya sahip olmak dışında, her iki bilgisayara da yüklenecek veya yapılandırılacak bir şey yoktur - sadece .jar dosyasını çalıştırın. Şifreleme Sihirbazı Mac, Windows, Linux, Sun ve Oracle Java çalıştıran diğer işletim sistemlerinde çalışır.

EW ile sıfırdan bir dakikada bir dosyayı şifreleyebilir ve gönderebilirsiniz ve alıcı aynı zamanda şifresini çözebilir (bir sertifika kullandığınızı veya şifreyi kullanarak kişiyi aradığınızı varsayarak).

Daha iyi büyük, şirket içi çözümler var, ancak her yerde hemen hemen herkes için işe yarayacak daha iyi bir şeyle karşılaşmadık.