Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 25 subscribers
  • Views 5677 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Emailverschlüsselung - Privaten Schlüssel downloaden

S_Schinkel
Hallo, ich habe unsere UTM vorige Woche auf Version 9.201-23 geupdatet.
Jetzt habe ich das Problem, dass ich keine privaten OpenPGP Schlüssel der internen Benutzer downloaden kann, der Haken fehlt im Dialog. 
Gibt es eine Möglichkeit mittels "cc" an den Schlüssel zu gelangen.
Auf jeden Fall sollte dieser BUG der Entwicklung gemeldet werden, damit schnell ein Update erstellt wird.


This thread was automatically locked due to age.
  • 0
    Aber der Admin installiert doch auch die Zertifikate oder kann der User das selber?
    Von daher macht das wenig Sinn...

    Es geht ja in meinem Fall um den Abgleich 2 UTMs und das ueberspielen der Zertifikate
  • 0 in reply to Boldmen
    Entweder installiert der Firewall-Admin Zertifikate, die in einer externen CA erstellt worden sind. Das ist ein Prozess (kaufen/erstellen externer Zertifikate), der nicht zwangsweise vom Firewall-Admin durchgeführt worden ist. Der Benutzer gibt dem Firewall-Admin die Zertifikate und gibt im besten Fall unter Aufsicht/Anleitung des Firewall-Admins selbst die Passphrase bei der Installation der Zertifikate auf der Firewall ein.

    Oder die Firewall generiert die Zertifikate bei der Freischaltung einer E-Mail-Adresse zur Verschlüsselung selbst.

    In beiden Fällen sehe ich nicht, warum der Admin den Zugriff auf den geheimen Schlüssel benötigt.

    Wenn Zertifikate aus einer externen CA importiert worden sind, sollte dies nur mit einer Passphrase möglich sein, die der Benutzer selbst eingibt (im Moment geht dies nur unter Aufsicht/Anleitung des Firewall-Admins). Genau mit dieser Passphrase, die zum Import nötig war, darf ein erneuter Export möglich sein. Somit kann ein Firewall-Admin dies nur unter "Aufsicht" des Benutzers durchführen :-)

    Wenn Zertifikate direkt in der Firewall generiert worden sind, sollte ein Export als Mindestanforderung nur im 4 Augen Prinzip möglich sein.

    Nur wenn man die gesamte Konfig der Firewall auf eine andere überträgt, werden private Schlüssel mit übertragen, da in dem Config-Backup alles enthalten ist.

    Ich finde die aktuelle Umsetzung aus Sicherheitsgründen gut, aus administrativer Sicht kann man sicher noch einiges optimieren.

    Privat nutze ich die Sophos Firewall auch, da finde ich das aktuelle Verhalten sehr hinderlich, weil ich die Sophos-Firewall als CA eingesetzt habe, um die erstellten Zertifikate extern weiter zu verwenden. Es gibt aber einen Trick, an die privaten Schlüssel heran zu kommen -> PM...

    Gruß
    Manuel
  • 0
    ...und der Ersteller kann damit keinen Missbrauch betreiben ? Ein anderes Bsp. waeren SSL Zertifikate fuer Server (WWW, Loadbal. etc.) darauf kann ein Admin auch zugreifen und somit Missbrauch betreiben.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?