Найпростіший спосіб надіслати зашифрований електронний лист?

Для дотримання нового закону про захист персональної інформації штату Массачусетс, моїй компанії необхідно (серед іншого) забезпечити, щоб будь-коли особиста інформація надсилалася електронною поштою, була зашифрована. Який найпростіший спосіб зробити це? В основному я шукаю те, що вимагатиме найменшої кількості зусиль з боку одержувача. Якщо це взагалі можливо, я дуже хочу уникати завантаження програми або проходження будь-яких етапів, щоб створити пару ключів і т. Д. Отже, в командному рядку тип GPG не є варіантом. Ми використовуємо Exchange Server та Outlook 2007 в якості нашої системи електронної пошти.

Чи є програма, за допомогою якої ми можемо легко зашифрувати електронний лист, а потім надіслати факс або подзвонити одержувачу ключем? (Або, можливо, наш електронний лист може містити посилання на наш веб-сайт, що містить наш відкритий ключ, який одержувач може завантажити, щоб розшифрувати пошту?) Нам не доведеться надсилати багато цих зашифрованих електронних листів, але люди, які їх надсилатимуть, не бути особливо технічним, тому я хочу, щоб це було якомога простіше. Будь-які записи для хороших програм були б чудовими. Спасибі.

Нам довелося пройти щось подібне з нашими клієнтами для PCI. Найкращим способом було б використовувати деяку версію PGP / GPG.

Тепер, коли це сказано, це насправді не так боляче, як ви думаєте. Ми зробили це разом із сотнями не технічних користувачів. Ми зробили два продукти - безкоштовний GPG (який у штатів Кронік є передній план GUI), а також плата за програмне забезпечення PGP. Ми написали справді хорошу документацію, яку ми могли б надіслати нашим клієнтам, вказуючи їм, як використовувати програмне забезпечення, яке вони обрали, а також навчили наших менеджерів облікових записів щодо усунення несправностей та використання програмного забезпечення.

Це дозволило зберегти 95% проблем, які не стикаються з чергою ІТ. Для інших 5% ми надали ІТ-ресурси для відповіді на запитання, а також у гіршому випадку зателефонуйте, щоб допомогти клієнту.

В якості альтернативи ми також придбали кілька ліцензій на winzip, щоб ми могли використовувати вбудоване в AES шифрування із прохідною фразою. Комерційне програмне забезпечення PGP має можливість створювати зашифрований файл, який також відкривається за допомогою парольної фрази. Хоча чесно використання PGP спрацювало так добре, я думаю, що я створюю такі типи файлів лише 2 або 3 рази на рік.

Чи не було б їм простіше перевірити веб-сайт із зашифрованими через SSL даними, кнопкою для друку даних на їх кінці? Таким чином, ви нічого не передаєте, і ви контролюєте поширення даних.

Що-небудь з електронною поштою, ймовірно, буде занадто важким для ваших користувачів; вони включатимуть генерацію ключів або завантаження брелоків чи інших речей, які користувачі вважають за клопоту чи заплутаними. Ваші витрати на підтримку зростуть, якщо користувачі просто не відмовляться від розладу.

Чи потрібно просто зашифровуватися під час транзиту (SMTP / TLS) або в сховищі / в кінцевих точках (PGP тощо)?

Працюючи з подібними законодавчими актами, я зазвичай встановлюю PKI / SMTP / TLS між двома або більше організаціями, які часто надсилають / отримують приватну / захищену інформацію; Я просто налаштовую розумний хост для кожної організації, яка відповідає відповідним доменам для маршрутизації пошти через тунель VPN від сайту до сайту, коли це застосовано, або використовується SMTP / TLS для шифрування пошти під час транзиту з Exchange.

Спробуйте ознайомитись із захищеними повідомленнями за допомогою S / MIME та OWA на Exchange Server 2007 SP1 Якщо ви хочете зашифрувати повідомлення. Це рішення також потребує додаткового кроку, оскільки користувачі повинні вибрати кнопку шифрування (це також, ймовірно, не є законним, оскільки ви хочете якось припустити, що всі ви користувачі ніколи не помилитесь і не зашифруйте електронний лист, який вони повинні мати.) Інакше всі що вам потрібно зробити, це переконатися, що пункти призначення, на які ви хочете відправити Массачусетський PII, використовують TLS (ви повинні мати цю інформацію, оскільки ви повинні ветеринувати всіх, кому ви можете надіслати Mass.PII відповідно до CMR 17.04). Напевно, ви також повинні написати транспортне правило, яке використовує регулярний вираз для пошуку Mass PII. Массачусетс PII визначається як комбінація імені та прізвища резидента, пов’язаного з одним із наступних: Номер посвідчення водія, номер кредитної картки або номер соціального страхування.

Поза темою, але герман ...

Зверніть увагу на тих, хто читає це і думає, що вам пощастило не жити в магістратурі, Супер! Якщо ви зберігаєте особисту інформацію резидента штату Массачусетс, незалежно від того, чи є у вас бізнес-присутність в штаті Массачусетс, ви накладаєте штрафні санкції, встановлені в 201 CMR 17.00. що може коштувати втрачених записів у 100 доларів США, максимум - 50 000 доларів США за “інцидент”. Загальний закон МА 93H зазначає, що за "порушення" буде накладено штраф у розмірі 5000 доларів США. Що саме це означає? Я не думаю, що ніхто не знає і не буде, поки хтось не вдариться з цим.

Важливо зазначити, що це непроста тема - ось наголос дискусії між собою та Зіфером щодо його відповіді:

Я: Використання будь-якого варіанта кінцевого користувача привертає вас до відповідальності, на відміну від PCI, закон вимагає, щоб ви були на гачку для будь-яких розумних питань (наприклад, користувач Джо, який не використовує технологію)

Zypher: використовуючи pgp, якщо користувач не надає вам ключ, ви не надсилаєте їм. В основному вони змушені використовувати його - у цьому випадку використання - інакше вони або A) Не отримують дані, або B) не можуть прочитати дані.

мені: як ви можете гарантувати, що кожен користувач, що надсилає дані, буде шифрувати кожен електронний лист? Подібно до рішення SMIME, ви повинні вибрати, щоб зашифрувати свою електронну пошту, її не можна примусово - чи я щось пропускаю?

Zypher: Це досить просто, якщо ви надсилаєте електронний лист, що містить інформацію, яку потрібно зашифрувати, не шифруючи її, вас звільняють з причини (за бажанням це означає, що безробіття). Не все має бути технічним рішенням. З питання це не буде робити занадто часто, тому більш задіяне рішення, ймовірно, не вартує витрат / вигод. Якщо їм потрібно робити це цілий день щодня, я б рекомендував взагалі не використовувати електронну пошту та переходити до онлайн-форм через SSL.

я: IANAL - але я застряг, слухаючи їх, закон дієво стверджує, що він повинен бути технічним рішенням - "але у мене була політика" - це фактично свідчення того, що одне з тих "розумно передбачуваних" питань, які ви повинні пом'якшити не було пом’якшено. Дисциплінація порушників також є частиною закону. Погляньте на цю дискусію informationweek.com/blog/main/archives/2009/02/…

Zypher: Насправді, якщо ви читаєте 17.03.2.b (тут: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf ), я маю політику і навчив своїх людей щодо неї, а також наявність дисциплінарних заходів насправді ідеально захищає. Насправді єдине згадування про технічне рішення - це запобігання доступу звільнених працівників до записів. IAANAL (Я теж не юрист).

я: - 1,2,3 - це просто речі, які, як очікується, будуть включені не остаточні рішення, 2b - це конкретна редакція, яка застосовується (я обманув і запитав юриста). Якщо ви повинні сказати "я можу це захистити", суди, ймовірно, розчавлять вас. Що стосується питань відповідності, ви повинні довести, що ви дотримуєтесь реєстрації. У регіонах спеціально сказано "передбачувано". Якщо ви стоїте перед судом і скажете "добре, якщо хтось порушив політику, його звільнять", обвинувачення просто скаже "Отже, ви визнаєте, що ви передбачили спосіб порушення цієї політики, і не вживали жодних розумних заходів для усунення питання?"

Зіфер: Чорт за те, що обманював. Ну а тепер ми маємо визначити розумне, а розумне для моєї компанії (велика багатонаціональна з 100 к.с. + співробітників) не те саме, що для мами та поп-магазину. Але з цього ж питання я думаю, що ми занадто далеко відмовляємось від мандату питання щодо питань і відповідей ... що дуже прикро, оскільки ця дискусія дала хорошу думку.

я: це "розумно передбачувано", не "розумно безпечно" або навіть розумно реалізувати. Пам'ятайте, що юридично, використовуючи rot13 для імен осіб, і більше нічого не слід типовим чином, оскільки це форма шифрування. Ця дискусія корисна, тому я відредагую свою відповідь, щоб включити її, щоб вона не була втрачена.

У GPG є утиліти для Windows та плагіни для клієнта електронної пошти (головним чином, зовнішній вигляд та eudora): http://openpgp.vie-privee.org/gnupg-win.htm Це відповідатиме вашим потребам, сподіваюся, оскільки вам потрібно лише клацнути правою кнопкою миші та "шифрувати", CLI не потрібно :)

Ви можете спробувати шлюз шифрування електронної пошти Djigzo (відмова від відповідальності: я автор Djigzo). Шлюз шифрування електронної пошти Djigzo - це сервер електронної пошти з відкритим кодом з централізованим управлінням (MTA), заснований на стандартах з відкритим кодом, який шифрує та розшифровує вашу вхідну та вихідну пошту на рівні шлюзу. Шлюз шифрування електронної пошти Djigzo в даний час підтримує два стандарти шифрування: зашифрований електронний лист S / MIME та PDF. S / MIME забезпечує аутентифікацію, цілісність повідомлення та неприйняття (використовуючи сертифікати X.509) та захист від перехоплення повідомлень. S / MIME використовує шифрування відкритого ключа (PKI) для шифрування та підписання. Шифрування PDF може використовуватися як легка альтернатива шифруванню S / MIME. PDF дозволяє розшифровувати та читати зашифровані документи PDF. Документи PDF можуть навіть містити вкладення, вбудовані в зашифрований PDF.

Шлюз шифрування електронної пошти Djigzo має вбудований CA, який можна використовувати для видачі сертифікатів X.509 для внутрішніх і зовнішніх користувачів. Зовнішній користувач може використовувати сертифікат з будь-яким клієнтом електронної пошти, здатним на S / MIME, як Outlook, Outlook Express, Lotus Notes, Thunderbird, Gmail тощо.

Оскільки шлюз шифрування електронної пошти Djigzo функціонує як загальний сервер електронної пошти SMTP, він сумісний із існуючими інфраструктурами електронної пошти, такими як Microsoft Exchange та Lotus Notes. Djigzo можна встановити за допомогою одного з наданих пакетів для Ubuntu Linux, Debian, Red Hat та CentOS. Доступний готовий запуск "Віртуальної техніки" для VMware ESX та Workstation.

Оскільки це відкритий код, його можна вільно використовувати. Джерела та двійкові пакети можна завантажити з нашого веб-сайту (www.djigzo.com).

Власне, закон говорить про зашифрування чутливих даних, а не обов'язково повідомлення. Якщо дані - це файл (і це звичайно), найпростіший на сьогоднішній день метод - просто зашифрувати файл.

Припустимо, що ваша мета - надзвичайно просте у використанні та розгортанні рішення, яке працюватиме у вашій різноманітній базі клієнтів ....

Майстер шифрування дослідницької лабораторії ВВС США ( http://spi.dod.mil/ewizard.htm ) безкоштовний, простий шифрувач файлів, акредитований за дод. Він обробляє паролі, смарт-карти та сертифікати. Безпечне видалення може стерти чутливий файл із загальнодоступного комп'ютера.

Крім Java, для встановлення чи налаштування на будь-якому комп'ютері немає нічого - просто запустіть файл .jar. Майстер шифрування працює на Mac, Windows, Linux, Sun та інших ОС, на яких працює Oracle Java.

За допомогою EW з нуля ви можете зашифрувати та надіслати файл з хвилини, і рецептор може розшифрувати за той же час (якщо ви користуєтесь сертифікатом або зателефонуєте особі без пароля).

Є кращі великі внутрішньопідприємницькі рішення, але ми не зустріли нічого кращого, що може працювати майже для всіх скрізь у будь-який час.