17 votos

Forma más fácil para enviar correo electrónico cifrado?

Para cumplir con el Massachusetts nueva información de carácter personal a la ley de protección de mi empresa necesita (entre otras cosas) asegurarse de que en cualquier momento se envía información personal a través de correo electrónico, está encriptado. ¿Cuál es la manera más fácil de hacer esto? Básicamente, estoy en busca de algo que va a requerir la menor cantidad de esfuerzo por parte del destinatario. Si es posible, de verdad que quiero evitar tener que descargar un programa o ir a través de todos los pasos para generar un par de claves, etc. Modo de línea de comando GPG-tipo de cosas no es una opción. Utilizamos Exchange Server y Outlook 2007 como nuestro sistema de correo electrónico.

Hay un programa que se puede utilizar para cifrar fácilmente un correo electrónico y, a continuación, fax o llame al destinatario con una clave? (O tal vez nuestro correo electrónico puede incluir un enlace a nuestro sitio web que contiene la clave pública, que el destinatario puede descargar para descifrar el correo?) No nos tenemos que enviar muchos de estos correos electrónicos encriptados, pero la gente que va a enviar a ellos no será especialmente técnico, por lo que quiero que sea tan fácil como sea posible. Cualquier recs para los buenos programas sería genial. Gracias.

12voto

Zypher Puntos 26466

Hemos tenido que pasar por algo similar con nuestros clientes para PCI. La mejor manera sería utilizar alguna versión de PGP/GPG.

Ahora lo que se dice, lo que realmente no es tan doloroso como usted piensa. Hemos hecho esto con cientos de organizaciones no técnica a los usuarios. Lo que hicimos fue elegir dos productos: el libre GPG (que Kronick los estados tienen GUI front-end), así como la remuneración de PGP software. Escribimos algunas realmente buenas documentación que podría ser enviado a nuestros clientes dándoles instrucciones de cómo utilizar el software que eligieron así como la formación de nuestros Gerentes de Cuenta en la solución de problemas básicos y cómo utilizar el software.

Que ha mantenido el 95% de los problemas que los clientes ejecutar dentro de la cola. Para el otro 5% que hemos hecho de los recursos disponibles para responder a las preguntas, así como en el peor de los casos llegar a una llamada de ayuda al cliente.


Como alternativa también compramos algunas licencias de winzip, de modo que podemos usar, la incorporada en el cifrado AES con una frase de contraseña. El comercial PGP software tiene la capacidad de crear un archivo cifrado que se abre con la frase de paso de sólo así. Aunque sinceramente usando PGP ha funcionado tan bien creo que sólo crear estos tipos de archivos 2 o 3 veces al año.

5voto

Bart Silverstrim Puntos 28092

¿No sería más fácil para que revise un sitio web con los datos cifrados a través de SSL, con un botón para imprimir los datos en su final? De esa manera usted no transmite nada y usted está en control de la difusión de los datos.

Nada con el correo electrónico, es probable que sea demasiado difícil para sus usuarios; que va a implicar la generación de la clave o la descarga de un llavero o otras cosas que los usuarios encontrarán a ser una molestia o confuso. Los costos de soporte técnico se cohete, a menos que los usuarios sólo tienen que dar en la frustración.

3voto

Asok Puntos 121

No sólo deben ser codificados en tránsito (SMTP/TLS), o en el almacenamiento/en los extremos (PGP, etc.)?

Trabajando con legislaciones similares, he de configuración generalmente PKI/SMTP/TLS entre dos o más organizaciones que, con frecuencia, enviar/recibir privado/información protegida; yo sólo la instalación de una pasarela en cada organización la coincidencia de los dominios en cuestión para enrutar el correo a través de un sitio a sitio VPN túnel cuando se aplica o utiliza SMTP/TLS para cifrar el correo en tránsito con Exchange.

2voto

Jim B Puntos 18849

Usted debe echar un vistazo a Mensajería Segura, con S/MIME y OWA de Exchange Server 2007 SP1 Si desea cifrar el mensaje. Esta solución también se requiere un paso adicional en la que los usuarios deben seleccionar el botón cifrar (es también, probablemente, no es legal ya que usted tiene que de alguna manera se asume que todos los usuarios nunca haría un error y no cifrar un correo electrónico que deben de tener.) De lo contrario, todo lo que usted necesita hacer es asegurarse de que los destinos que desea enviar Massachusetts PII está utilizando TLS (que están obligados a tener esa información, como se debe veterinario a todos que usted puede enviar Masa.PII como por CMR 17.04). Probablemente deberías escribir una regla de transporte que utiliza una expresión regular para buscar para la Masa de la PII. Massachusetts información de identificación personal se define como una combinación de un residente del primer nombre y apellido conectado a uno de los siguientes: Un número de licencia de conducir, número de tarjeta de crédito, o un número de seguro Social. Usted podría querer BCC los mensajes de seguimiento en otro buzón o simplemente mantener un recuento.

Off-topic pero germaine...

Nota para los que están leyendo esto y pensando que la suerte de no vivir en MA, Sorpresa! Si usted almacena la información personal de un residente de Massachusetts, independientemente de si o no usted tiene un negocio presencia en Massachusetts, usted está sujeto a las sanciones establecidas en 201 CMR de las 17.00 horas. que podría costar $100 registro perdido, con un máximo de $50K por "incidente". MA de la Ley General 93H afirma que habrá una multa de $5,000 por "transgresión". ¿Qué significa eso exactamente? No creo que nadie lo sabe y no se hasta que alguien se golpea con ella.

Es importante tener en cuenta que este no es un tema fácil - aquí está el contenido de una conversación entre yo y Zypher acerca de su respuesta:

me: el Uso de cualquier tipo de usuario final opción te abre las puertas a la responsabilidad, a diferencia de PCI la ley requiere que usted esté en el gancho para cualquier razonables (tales como joe usuario no el uso de la tecnología)

Zypher: el uso de pgp si el usuario no da una clave, usted no envía a ellos. Básicamente, ellos se ven obligados a utilizar - en este caso de uso - de lo contrario, o bien a) no obtener los datos o B) no puede leer los datos.

me: ¿cómo se puede garantizar que cada usuario el envío de los datos a cifrar todos los mensajes de correo electrónico? Como un SMIME solución debe elegir cifrar tu correo electrónico no puede ser forzado o me estoy perdiendo algo?

Zypher: Es bastante simple, si usted envía un correo electrónico que contiene la información que necesita ser cifrados y sin cifrar, su despedido por causa justificada (en a voluntad de los estados que esto significa que no hay desempleo). No todo tiene que ser una solución técnica. A partir de la pregunta que esto no se hace demasiado a menudo de manera más involucrado solución probablemente no vale la pena el costo/beneficio. Si era necesario hacer esto todo el día yo estaría a favor de no usar el correo electrónico a todos, y mudarse a formularios en línea a través de SSL.

me: IANAL - pero estoy atascado escuchar a ellos, la ley es el efectivo que indica que tiene que ser una tecnica solución- "pero yo tenía una política" es de facto la evidencia de que uno de esos "razonablemente previsible" los temas que se supone que para mitigar no mitigado. Disciplinar a los infractores también es parte de la ley ya. Echa un vistazo a esta discusión informationweek.com/blog/main/archives/2009/02/...

Zypher: en Realidad si lees 17.03.2.b (aquí:mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf) tengo una política y capacitados mi gente, así como de las medidas disciplinarias que en realidad es perfectamente defendible. De hecho, la única mención de una solución técnica para la prevención de los empleados despedidos de acceso a los registros. IAANAL (yo No Soy También Un Abogado).

yo:- 1,2,3 son simplemente las cosas que se esperan para ser incluidos no soluciones definitivas, 2b es la redacción específica que se aplica (me engañó y le pidió a un abogado). Si usted tiene que decir "yo puedo defender que" los tribunales probablemente te aplaste. Con el cumplimiento de las cuestiones que tiene que demostrar que usted está siguiendo las reglas. Los regs dice específicamente "previsible". Si usted está de pie en la corte y decir "bueno, si alguien rompió la política se había despedido" la fiscalía es que simplemente va a decir "Para que admitir que preveía una manera para que esta política ha violado, y no tomó las medidas razonables para eliminar el problema?"

Zypher: Maldita sea para hacer trampa. Bueno, ahora tenemos que definir razonable, razonable para mi empresa (multinacional w/ 100k+ empleados) no es el mismo que para una mamá y pop tienda. Pero por esa misma razón creo que nos estamos volviendo demasiado lejos de la Q&a Un mandato de la página... lo cual es lamentable, porque esta discusión ha dado alguna buena perspectiva.

me: es "razonablemente previsible" no "razonablemente seguro" o incluso razonable a implementar. Recuerde que legalmente, mediante el uso rot13 en los nombres de las personas y nada sigue el estándar ya que es una forma de cifrado. Esta discusión es útil así que voy a editar mi respuesta para incluir de manera que no se pierda.

1voto

Razique Puntos 1557

GPG tiene utilidades para windows y plugins para el cliente de correo electrónico (principalmente de outlook y eudora) : http://openpgp.vie-privee.org/gnupg-win.htm Va a la habitación sus necesidades espero ya que sólo tienes que hacer clic derecho y "cifrar", no de la CLI se requiere :)

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: