Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 25 subscribers
  • Views 5687 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Emailverschlüsselung - Privaten Schlüssel downloaden

S_Schinkel
Hallo, ich habe unsere UTM vorige Woche auf Version 9.201-23 geupdatet.
Jetzt habe ich das Problem, dass ich keine privaten OpenPGP Schlüssel der internen Benutzer downloaden kann, der Haken fehlt im Dialog. 
Gibt es eine Möglichkeit mittels "cc" an den Schlüssel zu gelangen.
Auf jeden Fall sollte dieser BUG der Entwicklung gemeldet werden, damit schnell ein Update erstellt wird.


This thread was automatically locked due to age.
  • 0
    Hi,

    Hallo, ich habe unsere UTM vorige Woche auf Version 9.201-23 geupdatet.
    ...
    Auf jeden Fall sollte dieser BUG der Entwicklung gemeldet werden, damit schnell ein Update erstellt wird. 

    Es gibt doch schon seit dem 22.05.14 Version 9.201-25 siehe => ftp://ftp.astaro.com/pub/UTM/v9/up2date/u2d-sys-9.201023-201025.tgz.gpg

    Installier ersmal diese aktuelle Firmware und schau ob sich das Problem danach erübrigt hat.
  • 0
    Update ist installiert, leider fehlt der Haken immer noch.
    Das Update war nur für das Fehler der eth0 Schnittstelle.
    Also doch der Entwicklung mitteilen.
  • 0
    Stell bitte mal von Deutsch auf Englisch um ... dann da?
  • 0 in reply to Microsaft
    Stell bitte mal von Deutsch auf Englisch um ... dann da?


    Nein, leider auch nicht. Ich habe auch schon den Quelltext bemüht und jedes DIV und TABLE kontrolliert. Die Checkbox fehlt.
  • 0
    Du hast Recht, hab mal eben versucht auch über den Webadmin einen privaten OpenPGP-Key zu laden...ging nicht.
  • 0
    Nach dem Update auf Version 9.202-33 kann ich nicht nur noch den öffentlichen OpenPGP Schlüssel downloaden, sondern auch nicht mehr den privaten Schlüssel des S/MIME.

    Das ist definitiv ein Bug.
  • 0
    Der BUG besteht wohl leider immer noch (9.204-20), das so ein einfaches Problem nicht bereits wieder behoben wurde ist echt schwach....

    Da ich mich aktuell mit dem Thema beschäftige, habe ich mal ein wenig im Web gesucht. Auf der Kommandozeile (als root) kann man ganz einfach alle Keys abfragen:

    cc get_objects_filtered '$_->{type} eq "openpgp"'
  • 0
    Anscheinend ist Mailverschlüsselung so unverbreitet, dass das wohl keinen interessiert [:S]

    Auch das Update das gestern rauskam scheint das Problem wohl nicht zu beheben ( https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/29540 )
  • 0
    Hallo,
    gibt's da einen neuen Stand? Stehe vor dem selben Problem..
  • 0 in reply to Boldmen
    Das ist kein Bug, sondern Absicht.

    Früher konnte man nur den Public Key downloaden. In der Online-Hilfe stand auch korrekt der Satz:

    "Note – For security reasons, the files offered for download only 
    contain the S/MIME certificate and the OpenPGP public key, 
    respectively. The S/MIME key and the OpenPGP private key cannot be 
    downloaded from the system."

    Irgendwann wurde dann die Möglichkeit eingebaut, auch die Private Keys herunter zu laden, in der Online-Hilfe stand aber noch der alte Satz drin.

    Ist zwar schön komfortabel, ermöglicht es aber jedem Admin, gefälschte E-Mails zu verschicken.

    Dies habe ich als grobe Sicherheitslücke gemeldet und Sophos hat daraufhin den Download der Private-Keys wieder abgeschaltet.

    Trotzdem hat irgendjemand in der Zwischenzeit den Satz in der Online-Hilfe geändert:

    "Note – The files offered for download contain the S/MIME certificate and the S/MIME key. The OpenPGP certificate offers the public key. For the OpenPGP private key you have to click on Download and activate the checkbox Include private key."

    Dies ist in der Zwischenzeit nicht mehr korrekt.

    Gruß
    Manuel

    ************************

    Text aus meinem ursprünglichem Ticket, nach dem der Export von private Keys dann auch wieder abgeschaltet wurde:

    "Einem Admin ist es ohne weiteres möglich, die privaten 
    S/MIME-Zertifikate und privaten OpenPGP-Schlüssel aller vorhandenen 
    Benutzer, die für die E-Mail-Verschlüsselung freigeschaltet sind, zu 
    exportieren. Die Krönung dabei ist, dass bei privaten 
    OpenPGP-Schlüsseln noch nicht mal eine Passphrase zur Sicherung des 
    Public/Private-Keypärchens eingegeben werden kann _beim S/MIME-Export 
    ist dies immerhin möglich_.

    Dass dieses neue Verhalten _ist seit ein paar Firmwareversionen so_ 
    nicht unkritisch ist, sieht man an der Online-Hilfe, ich zitiere:

    "Note – For security reasons, the files offered for download only 
    contain the S/MIME certificate and the OpenPGP public key, 
    respectively. The S/MIME key and the OpenPGP private key cannot be 
    downloaded from the system."

    Aktuell ist die Online-Hilfe in dem Punkt fehlerhaft. Es wäre jetzt 
    aber nicht der richtige Weg, die Online-Hilfe einfach anzupassen. Es 
    kann nicht sein, dass es einem Admin dermaßen einfach gemacht wird, 
    private S/MIME- und OpenPGP-Schlüssel zu erlanden, um beliebigen 
    Missbrauch zu treiben.

    Wenn die Schlüssel auf der Firewall selbst beim Anlegen eines neuen 
    Benutzers generiert worden sind, kann man ja noch ein halbes Auge 
    zudrücken. Wenn aber OpenPGP-Schlüssel aus einer externen Struktur 
    stammen und beim Anlegen eines Benutzers oder später importiert worden 
    sind, darf es keinen erneuten Export geben.

    Irgendein Minimal-Schutz _vier-Augen Prizip, was auch immer_ sollte 
    vorhanden sein!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?