Toon posts:

[2003] Secure email

Pagina: 1
Acties:
  • 104 views sinds 30-01-2008
  • Reageer

maandag 20 februari 2006 10:35

Acties:
  • blablable
  • Registratie: Maart 2003
  • Laatst online: 30-12-2025

blablable

Topicstarter
Hallo,

Ik ben een tijdje bezig geweest met het instellen van secure mail via certificaten.

Op een server draaid de certificate service. Via deze server (http://server/cersrv) heb ik een client certificate geinstalleerd op mijn client. Vervolgens kan ik een secure mail verturen naar personen die ook dit certificaat geinstalleerd hebben. Dat werkt kdus prima. Maar er moeten secure mails naar klanten verstuurd gaan worden. Nu kun je geen secure (encrypted) mail versturen naar iemand die niet het desbetreffende certificaat geinstalleerd heeft.

Ik zoek dus een manier om iemand een secure mail te kunnen sturen ook als heeft deze persoon nog geen certificaat (sleutel) geinstalleerd. Tevens zou ik willen weten hoe je makelijk een certificaat/sleutel beschikbaar kunt stellen aan de klant zonder (http://server/cersrv) open te zetten voor de wereld....

Als het niet duidelijk is hoor ik het wel :-)

maandag 20 februari 2006 10:54

Acties:
  • Gerco
  • Registratie: Mei 2000
  • Laatst online: 03:31

Gerco

Professional Newbie

Dus je wilt een ecrypted mail sturen naar iemand die de decryptiesleutel niet heeft? Dat kun je oplossen door die persoon de sleutel te geven.

Je zou ook de sleutel met de mail mee kunnen sturen, maar dat is onzinnig, aangezien je dan net zo goed niet zou kunnen encrypten :)

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

maandag 20 februari 2006 11:02

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

blablable schreef op maandag 20 februari 2006 @ 10:35:
Hallo,

Ik ben een tijdje bezig geweest met het instellen van secure mail via certificaten.
S/MIME is leuk! Ook een tijdje mee bezig, maar wordt helaas nog te weinig gebruikt.. Zou zelf ook wel een certificaat willen dat ook echt door een trusted party wordt uitgegeven (thawte/verisign/etc), zodat ik ook daadwerkelijk messages kan signen. Maar die publieke trusted certificaten kosten geld.. Bij thawte krijg je ook een gratis cert, voor S/MIME, maar dan moet je weer IRL mensen opzoeken je die willen identificeren. Teveel moeite.
Op een server draaid de certificate service. Via deze server (http://server/cersrv) heb ik een client certificate geinstalleerd op mijn client. Vervolgens kan ik een secure mail verturen naar personen die ook dit certificaat geinstalleerd hebben.
Je bedoelt die jouw root certificate geinstalleerd hebben?
Dat werkt kdus prima. Maar er moeten secure mails naar klanten verstuurd gaan worden. Nu kun je geen secure (encrypted) mail versturen naar iemand die niet het desbetreffende certificaat geinstalleerd heeft.
Je kunt mails signen en encrypten. Signen is niet versleutelen, maar slechts een controle, zodat men kan zien dat er niet met het mailtje is gerotzooid. Op het moment dat jij een gesigned mailtje naar iemand stuurt, heeft die jouw public key.. Nu kan deze persoon een mailtje naar jou encrypten met zijn certificaat. Als deze persoon een signed of encrypted mailtje naar jou stuurt, dan heb je ook zijn public key, en kun je dus encrypted mails naar elkaar gaan sturen.
Ik zoek dus een manier om iemand een secure mail te kunnen sturen ook als heeft deze persoon nog geen certificaat (sleutel) geinstalleerd.
Dan kan niet.. Dat is dus het hele idee erachter.. Jij versleutelt jouw mail met de public key van de ontvanger, en deze kan alleen met zijn eigen private key dit bericht ontcijferen, da's het hele idee achter PKI.
Tevens zou ik willen weten hoe je makelijk een certificaat/sleutel beschikbaar kunt stellen aan de klant zonder (http://server/cersrv) open te zetten voor de wereld....
Niet makkelijk.. Normaal koop je een certificaat bij een root CA, die dit voor je doet.. Zoals Verisign/Thawte, etc.. Nu wil je dit zelf doen, door je eigen root CA te draaien, en moet je dus ook zelf die certificaten gaan uitgeven.. Bijvoorbeeld door middel van je Microsoft Certificate server, door bijvoorbeeld je web-interface aan de wereld open te zetten. Je kunt ook alle verzoeken per mail afhandelen, en zelf die webformuliertjes in gaan vullen. Het belangrijkste is dat jij de mensen vertrouwt die je een certificaart geeft..

Er zijn ook CA's zoals CAcert.org, die gratis certificaten uitgeven, alleen moet er dan iemand zijn die daadwerkelijk jouw identiteit vaststelt voordat je genoeg punten krijgt om je eigen naam in je certificaat te zetten. Het leuke is dat dit soort partijen je het hele werk uit handen nemen van het uitgeven en vernieuwen van certificaten, maar het neemt wel weer de rompslomp mee van real-life verificatie.

Enige manier om dit gezeur niet te hebben is inderdaad zelf je eigen CA draaien ;)

Je kunt natuurlijk wel op je webinterface (http://server/cersrv) windows-authenticatie aanzetten! Dus dat je klanten alleen met een username/password bij die interface kunnen. Aan jou of je ze allemaal een eigen account geeft, of dat je 1 account maakt waarvan je het password af en toe verandert.

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

maandag 20 februari 2006 11:11

Acties:
  • blablable
  • Registratie: Maart 2003
  • Laatst online: 30-12-2025

blablable

Topicstarter
axis schreef op maandag 20 februari 2006 @ 11:02:
[...]

S/MIME is leuk! Ook een tijdje mee bezig, maar wordt helaas nog te weinig gebruikt.. Zou zelf ook wel een certificaat willen dat ook echt door een trusted party wordt uitgegeven (thawte/verisign/etc), zodat ik ook daadwerkelijk messages kan signen. Maar die publieke trusted certificaten kosten geld.. Bij thawte krijg je ook een gratis cert, voor S/MIME, maar dan moet je weer IRL mensen opzoeken je die willen identificeren. Teveel moeite.


[...]

Je bedoelt die jouw root certificate geinstalleerd hebben?


[...]

Je kunt mails signen en encrypten. Signen is niet versleutelen, maar slechts een controle, zodat men kan zien dat er niet met het mailtje is gerotzooid. Op het moment dat jij een gesigned mailtje naar iemand stuurt, heeft die jouw public key.. Nu kan deze persoon een mailtje naar jou encrypten met zijn certificaat. Als deze persoon een signed of encrypted mailtje naar jou stuurt, dan heb je ook zijn public key, en kun je dus encrypted mails naar elkaar gaan sturen.


[...]

Dan kan niet.. Dat is dus het hele idee erachter.. Jij versleutelt jouw mail met de public key van de ontvanger, en deze kan alleen met zijn eigen private key dit bericht ontcijferen, da's het hele idee achter PKI.


[...]

Niet makkelijk.. Normaal koop je een certificaat bij een root CA, die dit voor je doet.. Zoals Verisign/Thawte, etc.. Nu wil je dit zelf doen, door je eigen root CA te draaien, en moet je dus ook zelf die certificaten gaan uitgeven.. Bijvoorbeeld door middel van je Microsoft Certificate server, door bijvoorbeeld je web-interface aan de wereld open te zetten. Je kunt ook alle verzoeken per mail afhandelen, en zelf die webformuliertjes in gaan vullen. Het belangrijkste is dat jij de mensen vertrouwt die je een certificaart geeft..

Er zijn ook CA's zoals CAcert.org, die gratis certificaten uitgeven, alleen moet er dan iemand zijn die daadwerkelijk jouw identiteit vaststelt voordat je genoeg punten krijgt om je eigen naam in je certificaat te zetten. Het leuke is dat dit soort partijen je het hele werk uit handen nemen van het uitgeven en vernieuwen van certificaten, maar het neemt wel weer de rompslomp mee van real-life verificatie.

Enige manier om dit gezeur niet te hebben is inderdaad zelf je eigen CA draaien ;)

Je kunt natuurlijk wel op je webinterface (http://server/cersrv) windows-authenticatie aanzetten! Dus dat je klanten alleen met een username/password bij die interface kunnen. Aan jou of je ze allemaal een eigen account geeft, of dat je 1 account maakt waarvan je het password af en toe verandert.
"Je bedoelt die jouw root certificate geinstalleerd hebben?"

Yup

"Je kunt mails signen en encrypten. Signen is niet versleutelen, maar slechts een controle, zodat men kan zien dat er niet met het mailtje is gerotzooid. Op het moment dat jij een gesigned mailtje naar iemand stuurt, heeft die jouw public key.. Nu kan deze persoon een mailtje naar jou encrypten met zijn certificaat. Als deze persoon een signed of encrypted mailtje naar jou stuurt, dan heb je ook zijn public key, en kun je dus encrypted mails naar elkaar gaan sturen."

Wat ik doe is een gesignt en encypted mail versturen. Op het moment dat ik naar iemand wil verzenden die niet het root certificate geinstalleerd heeft stelt outlook me voor de volgende keuze: mail NIET versleuteld verzenden/ of mail helemaal niet verzenden. Tevens gebruik idd S/MIME

"Dan kan niet.. Dat is dus het hele idee erachter.. Jij versleutelt jouw mail met de public key van de ontvanger, en deze kan alleen met zijn eigen private key dit bericht ontcijferen, da's het hele idee achter PKI."

Bedoel eigenlijk dat ik wel kan vesrsturen maar dat de ontvanger dan gewoon (nog) niet kan openen. Pas na install van cert zou ie de mail moeten kunnen openen...

Verder zou ik idd de webpagina op windows authenticatie kunnen beveiligen (alleen IIS is zo lek als een mandje :X

maandag 20 februari 2006 11:32

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Bedoel eigenlijk dat ik wel kan vesrsturen maar dat de ontvanger dan gewoon (nog) niet kan openen. Pas na install van cert zou ie de mail moeten kunnen openen...
Je kunt alleen maar versleutelen (encrypten) met ZIJN public key.. Dat betekent dat hij EERST een geldig certificaat moet hebben, zijn public key (een deel van zijn certificaat) naar jou moet sturen, en DAARNA kun jij pas een mailtje naar hem encrypten. Kan dus niet andersom..
Verder zou ik idd de webpagina op windows authenticatie kunnen beveiligen (alleen IIS is zo lek als een mandje :X
En een mercedes rijdt niet lekker, alleen BMW.. 8)7

Laat je niet teveel opnaaien door de 'windows is evil' hype, over het algemeen kun je er vanuit gaat dat je beveiliging zo goed is als de beheerder, operating system is 2e.. Maar daar zijn andere topics over. Je laat gewoon je windows server updates automatisch installeren, en dan hoef je je helemaal niet zo druk te maken. Als het je niet bevalt, staat niets je in de weg om met apache en openSSL ofzo aan de slag te gaan, toch?

[ Voor 9% gewijzigd door axis op 20-02-2006 11:33 ]

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

maandag 20 februari 2006 11:35

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Dat het over Windows gaat in Windows Operating Systems lijkt me vrij logisch, welke Windows versie gaat het over? :P

maandag 20 februari 2006 11:39

Acties:
  • blablable
  • Registratie: Maart 2003
  • Laatst online: 30-12-2025

blablable

Topicstarter
elevator schreef op maandag 20 februari 2006 @ 11:35:
Dat het over Windows gaat in Windows Operating Systems lijkt me vrij logisch, welke Windows versie gaat het over? :P
sorry :-) w3k...

maandag 20 februari 2006 11:39

Acties:
  • blablable
  • Registratie: Maart 2003
  • Laatst online: 30-12-2025

blablable

Topicstarter
axis schreef op maandag 20 februari 2006 @ 11:32:
[...]


Je kunt alleen maar versleutelen (encrypten) met ZIJN public key.. Dat betekent dat hij EERST een geldig certificaat moet hebben, zijn public key (een deel van zijn certificaat) naar jou moet sturen, en DAARNA kun jij pas een mailtje naar hem encrypten. Kan dus niet andersom..


[...]

En een mercedes rijdt niet lekker, alleen BMW.. 8)7

Laat je niet teveel opnaaien door de 'windows is evil' hype, over het algemeen kun je er vanuit gaat dat je beveiliging zo goed is als de beheerder, operating system is 2e.. Maar daar zijn andere topics over. Je laat gewoon je windows server updates automatisch installeren, en dan hoef je je helemaal niet zo druk te maken. Als het je niet bevalt, staat niets je in de weg om met apache en openSSL ofzo aan de slag te gaan, toch?
Oke dan, dat wist ik niet! Thanx..

en wat betreft iis... ja je hebt wel gelijk. Probeer het alleen zo veel mogelijk te vermijden :-)

maandag 20 februari 2006 11:41

Acties:
  • blablable
  • Registratie: Maart 2003
  • Laatst online: 30-12-2025

blablable

Topicstarter
Nog 1 vraagje...

Is er een uber key waar ik een mailtje mee kan openen als er een certificaat weg is oid?
Maw ik heb een mailtje van iemand die geencrypt is maar waar de sleutel van weg is. Is er een admin key die de mail dan wel kan openen/decrypten?

maandag 20 februari 2006 14:15

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

blablable schreef op maandag 20 februari 2006 @ 11:41:
Nog 1 vraagje...

Is er een uber key waar ik een mailtje mee kan openen als er een certificaat weg is oid?
Maw ik heb een mailtje van iemand die geencrypt is maar waar de sleutel van weg is. Is er een admin key die de mail dan wel kan openen/decrypten?
Nope.. Het mailtje is met de public key van een bepaald cerificaat versleutelt, en kan alleen met de private key ontcijferd worden. Certificaat kwijt, pech.. Misschien heeft de afzender dan nog een kopie in zijn sent items staan..

Daarom moet je ook je eigen certificaten op een veilige plaats backuppen. Een export van een certificaat kun je op een usb-stickje of een cd-rom of floppy op een veilige plek opslaan.. Als je helemaal paranoid bent, bijvoorbeeld in een kluisje bij je bank.

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq