Самый простой способ отправить зашифрованную электронную почту?

Чтобы соответствовать новому закону штата Массачусетс о защите личной информации, моя компания должна (среди прочего) обеспечить, чтобы в любое время личная информация отправлялась по электронной почте и шифровалась. Какой самый простой способ сделать это? По сути, я ищу что-то, что потребует наименьшего количества усилий со стороны получателя. Если это вообще возможно, я действительно хочу, чтобы они не загружали программу и не выполняли какие-либо шаги для генерации пары ключей и т. Д. Так что командная строка типа GPG не подходит. Мы используем Exchange Server и Outlook 2007 в качестве нашей почтовой системы.

Есть ли программа, которую мы можем использовать, чтобы легко зашифровать электронную почту и затем отправить факс или позвонить получателю с ключом? (Или, возможно, наша электронная почта может содержать ссылку на наш веб-сайт, содержащий наш открытый ключ, который получатель может загрузить для расшифровки почты?) Нам не нужно будет отправлять многие из этих зашифрованных электронных писем, но люди, которые будут отправлять их, будут Не будь особенно техническим, поэтому я хочу, чтобы это было как можно проще. Любые отзывы о хороших программах было бы здорово. Благодарю.

Нам пришлось пройти через нечто подобное с нашими клиентами для PCI. Лучший способ - использовать какую-то версию PGP / GPG.

Теперь, как говорится, на самом деле это не так больно, как вы думаете. Мы сделали это с сотнями нетехнических пользователей. Мы выбрали два продукта - бесплатную GPG (у которой в Kronick есть интерфейсы GUI), а также плату за программное обеспечение PGP. Мы написали несколько действительно хороших документов, которые можно было бы отправить нашим клиентам, инструктируя их, как использовать выбранное ими программное обеспечение, а также обучили наших менеджеров по работе с клиентами по основным вопросам устранения неполадок и способам использования программного обеспечения.

Это сохранило 95% проблем, с которыми клиенты сталкиваются из ИТ-очереди. Для остальных 5% мы предоставили ИТ-ресурсы для ответов на вопросы, а в худшем случае позвонили, чтобы помочь клиенту.

В качестве альтернативы мы также купили несколько лицензий winzip, чтобы мы могли использовать встроенное шифрование AES с парольной фразой. Коммерческое программное обеспечение PGP имеет возможность создавать зашифрованный файл, который также открывается только парольной фразой. Хотя, честно говоря, использование PGP сработало очень хорошо, я думаю, что я создаю файлы такого типа только 2-3 раза в год.

Разве не было бы проще, чтобы они проверили веб-сайт с данными, зашифрованными с помощью SSL, с кнопкой для печати данных на их конце? Таким образом, вы ничего не передаете и контролируете распространение данных.

Что-нибудь с электронной почтой, вероятно, будет слишком сложным для ваших пользователей; они будут связаны с генерацией или загрузкой ключей или с другими вещами, которые пользователи сочтут трудными или запутанными. Ваши расходы на поддержку будут расти, если пользователи просто не разочаруются.

Нужно ли просто зашифровать его при передаче (SMTP / TLS) или в хранилище / на конечных точках (PGP и т. Д.)?

Работая с подобными законами, я обычно устанавливаю PKI / SMTP / TLS между двумя или более организациями, которые часто отправляют / получают частную / защищенную информацию; Я просто настраиваю промежуточный узел в каждой организации, соответствующей доменным именам, для маршрутизации почты через VPN-туннель между сайтами, когда это применимо, или использую SMTP / TLS для шифрования почты при передаче с Exchange.

Вы должны взглянуть на Безопасный обмен сообщениями с S / MIME и OWA на Exchange Server 2007 SP1 Если вы хотите зашифровать сообщение. Это решение также требует дополнительного шага, так как пользователи должны выбрать кнопку шифрования (это также, вероятно, не законно, так как вы должны каким-то образом предполагать, что все вы, пользователи, никогда не совершите ошибку, и не шифровать электронную почту, которую они должны иметь.) В противном случае все вам нужно убедиться, что адресаты, которые вы хотите отправить из Массачусетса PII, используют TLS (вы должны иметь эту информацию, поскольку вы должны проверить всех, кому вы можете отправить Mass.PII, согласно CMR 17.04). Возможно, вам также следует написать правило транспорта, которое использует регулярное выражение для поиска Mass PII. Массачусетский PII определяется как комбинация имени и фамилии резидента, связанных с одним из следующих: номер водительского удостоверения, номер кредитной карты или номер социального страхования.

Не по теме, но зародыш ...

Примечание для тех, кто читает это и думает, что вам повезло, что вы не живете в МА, Сюрприз! Если вы храните личную информацию резидента Массачусетса, независимо от того, ведете ли вы бизнес в Массачусетсе или нет, вы будете подвергнуты штрафам, установленным в 201 CMR 17.00. что может стоить 100 долларов потерянной записи, максимум 50 тысяч долларов за «инцидент». Общий закон 93H МА гласит, что за «нарушение» будет наложен штраф в размере 5000 долларов США. Что именно это значит? Я не думаю, что кто-то знает, и не будет, пока кто-то не ударит его.

Важно отметить, что это нелегкая тема - вот предмет обсуждения между мной и Зайфером его ответа:

Я: Использование любого варианта для конечного пользователя открывает перед вами ответственность, в отличие от PCI, закон требует, чтобы вы были готовы к любым разумным вопросам (например, к тому, что пользователь не использует технологию)

Zypher: использование pgp, если пользователь не дает вам ключ, вы не отправляете ему. По сути, они вынуждены использовать его - в этом случае - иначе они либо А) не получают данные, либо Б) не могут прочитать данные.

я: как вы можете гарантировать, что каждый пользователь, отправляющий данные, будет шифровать каждое письмо? Точно так же, как решение SMIME, вы должны выбрать шифрование электронной почты, оно не может быть взломано - или я что-то упустил?

Zypher: Это довольно просто, если вы отправляете электронное письмо, содержащее информацию, которая должна быть зашифрована без шифрования, ваше увольнение по причине (по желанию это означает отсутствие безработицы). Не все должно быть техническим решением. Судя по этому вопросу, это не будет сделано слишком часто, поэтому более сложное решение, вероятно, не стоит затрат / выгод. Если бы им нужно было делать это каждый день каждый день, я бы рекомендовал вообще не использовать электронную почту и переходить на онлайн-формы через SSL.

я: IANAL - но я застрял, слушая их, закон эффективно заявляет, что это должно быть техническое решение - «но у меня была политика» - это фактическое доказательство того, что один из тех «разумно предсказуемых» вопросов, которые вы должны смягчить не был смягчен Дисциплинирование нарушителей также является частью закона. Посмотрите на это обсуждение informationweek.com/blog/main/archives/2009/02/…

Zypher: На самом деле, если вы прочитаете 17.03.2.b (здесь: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf ), у меня есть политика и я обучаю ее своим людям, а также принятие дисциплинарных мер на самом деле совершенно оправданно. Фактически, единственное упоминание о техническом решении заключается в том, чтобы запретить уволенным сотрудникам доступ к записям. ЯАНАЛ (я тоже не юрист).

я: - 1,2,3 - это просто вещи, которые, как ожидается, будут включены, а не окончательные решения, 2b - это конкретная формулировка, которая применяется (я обманул и спросил адвоката). Если вы скажете: «Я могу защитить это», суды, вероятно, сокрушат вас. С вопросами соблюдения вы должны доказать, что вы следуете правилам. Регы специально говорят «предсказуемо». Если вы встанете в суде и скажете «хорошо, если кто-то нарушит политику, его уволят», обвинение просто скажет: «Итак, вы признаете, что предвидели способ нарушения этой политики и не предприняли разумных мер для удаления проблема?"

Zypher: Будь ты проклят за мошенничество. Что ж, теперь мы должны определить разумное, а также разумное для моей компании (большая многонациональная ж / 100 тыс. + Сотрудников) не то же самое, что и для мамы и поп-шопа. Но в том же духе я думаю, что мы слишком далеки от мандата сайта на вопросы и ответы ... что вызывает сожаление, потому что это обсуждение дало некоторое хорошее представление.

я: это «разумно предсказуемо», а не «разумно безопасно» или даже разумно реализовать. Помните, что по закону использование rot13 в именах людей и ничего более не следует стандартному, потому что это форма шифрования. Это обсуждение полезно, поэтому я отредактирую свой ответ, чтобы включить его, чтобы он не пропал.

У GPG есть утилиты для Windows и плагины для почтового клиента (в основном, outlook и eudora): http://openpgp.vie-privee.org/gnupg-win.htm Он удовлетворит ваши потребности, надеюсь, так как вам нужно только щелкнуть правой кнопкой мыши и "шифровать", CLI не требуется :)

Вы можете попробовать шлюз шифрования электронной почты Djigzo (отказ от ответственности: я автор Djigzo). Djigzo Email Encryption Gateway - это централизованно управляемый почтовый сервер (MTA) с открытым исходным кодом, основанный на стандартах с открытым исходным кодом, который шифрует и дешифрует входящую и исходящую электронную почту на уровне шлюза. В настоящее время шлюз шифрования электронной почты Djigzo поддерживает два стандарта шифрования: электронную почту в формате S / MIME и PDF. S / MIME обеспечивает аутентификацию, целостность сообщений и отсутствие отказа от них (с использованием сертификатов X.509) и защиту от перехвата сообщений. S / MIME использует шифрование с открытым ключом (PKI) для шифрования и подписи. Шифрование PDF может использоваться как легкая альтернатива шифрованию S / MIME. PDF позволяет расшифровывать и читать зашифрованные документы PDF. Документы PDF могут даже содержать вложения, встроенные в зашифрованный PDF.

Djigzo Email Encryption Gateway имеет встроенный CA, который вы можете использовать для выдачи сертификатов X.509 для внутренних и внешних пользователей. Внешний пользователь может использовать сертификат с любым почтовым клиентом с поддержкой S / MIME, таким как Outlook, Outlook Express, Lotus Notes, Thunderbird, Gmail и т. Д.

Поскольку Djigzo Email Encryption Gateway функционирует как обычный сервер электронной почты SMTP, он совместим с существующими инфраструктурами электронной почты, такими как Microsoft Exchange и Lotus Notes. Djigzo можно установить с помощью одного из предоставленных пакетов для Ubuntu Linux, Debian, Red Hat и CentOS. Готово к запуску «Виртуальное устройство» для VMware ESX и рабочей станции.

Поскольку это открытый исходный код, его можно свободно использовать. Исходники и бинарные пакеты можно скачать с нашего сайта (www.djigzo.com).

На самом деле, закон гласит, что необходимо шифровать конфиденциальные данные, а не обязательно сообщение. Если данные - это файл (и обычно это так), самый простой способ - просто зашифровать файл.

Предполагая, что ваша цель - это чрезвычайно простое в использовании и развертывании решение, которое будет работать с разнообразной клиентской базой ....

Мастер шифрования в Исследовательской лаборатории ВВС США ( http://spi.dod.mil/ewizard.htm ) является бесплатным, аккредитованным Министерством обороны США, простым шифратором файлов. Он обрабатывает пароли, смарт-карты и сертификаты. Его безопасное удаление может стереть чувствительный файл с общедоступного компьютера.

Кроме наличия Java, ничего не нужно устанавливать или настраивать на любом компьютере - просто запустите файл .jar. Мастер шифрования работает на Mac, Windows, Linux, Sun и других ОС, работающих под управлением Oracle Java.

С помощью EW с нуля вы можете зашифровать и отправить файл в течение минуты, а получатель может расшифровать за то же время (при условии, что вы используете сертификат или позвоните человеку с паролем).

Существуют лучшие крупные внутрифирменные решения, но мы не нашли ничего лучшего, что могло бы работать практически для всех и везде в любое время.