Чтобы соответствовать новым требованиям о защите личной информации, моя компания должна (среди прочего) обеспечить шифрование любой личной информации, отправляемой по электронной почте. Какой самый простой способ сделать это? В принципе, я ищу что-то, что потребует наименьших усилий со стороны получателя. Если это вообще возможно, я хочу, чтобы им не пришлось скачивать программу или проходить какие-либо шаги для генерации пары ключей и т.д. Поэтому GPG типа командной строки - это не вариант. Мы используем Exchange Server и Outlook в качестве нашей почтовой системы.
Есть ли программа, с помощью которой мы можем легко зашифровать электронное письмо, а затем отправить получателю по факсу или позвонить ему с ключом? (Или, может быть, наше письмо может включать ссылку на наш веб-сайт, содержащий наш открытый ключ, который получатель может загрузить для расшифровки письма?) Нам не придется отправлять много таких зашифрованных писем, но люди, которые будут их отправлять, не будут особенно технически подкованы, поэтому я хочу, чтобы все было как можно проще. Любые рекомендации по хорошим программам были бы замечательными. Спасибо.
Ответ 1
Нам пришлось пройти через нечто подобное с нашими клиентами для PCI. Лучшим способом будет использование какой-либо версии PGP/GPG. С учетом сказанного, это действительно не так болезненно, как вы думаете. Мы сделали это с сотнями пользователей, не являющихся техническими специалистами. Мы выбрали два продукта - бесплатный GPG и платный PGP. Мы составили действительно хорошую документацию, которую можно было разослать нашим клиентам с инструкциями по использованию выбранного ими программного обеспечения, а также обучили наших менеджеров по работе с клиентами основным способам устранения неполадок и использованию программного обеспечения.
Благодаря этому 95% проблем, с которыми сталкиваются клиенты, не попадают в очередь ИТ-отдела. Для остальных 5% мы предоставили ИТ-ресурсы, чтобы они могли ответить на вопросы, а также в худшем случае приехать на вызов и помочь клиенту. В качестве альтернативы мы также приобрели несколько лицензий winzip, чтобы можно было использовать встроенное AES-шифрование с помощью парольной фразы. Коммерческое программное обеспечение PGP также имеет возможность создавать зашифрованные файлы, которые открываются только по парольной фразе. Хотя, честно говоря, использование PGP сработало настолько хорошо, что я думаю, что создание таких типов файлов можно всего 2-3 раза в год.
Ответ 2
Вам следует взглянуть на Secure Messaging with S/MIME and OWA on Exchange Server SP1 Если вы хотите зашифровать сообщение. Это решение также требует дополнительного шага, поскольку пользователи должны выбрать режим шифрования (это также, вероятно, не законно, поскольку вы должны каким-то образом предположить, что все ваши пользователи никогда не сделают ошибку и не зашифруют письмо, которое они должны были зашифровать). В противном случае все, что вам нужно сделать, это убедиться, что пункты назначения, в которые вы хотите отправить Massachusetts PII, используют TLS (вы обязаны иметь эту информацию, поскольку вы должны проверять всех, кому вы можете отправить Mass.PII в соответствии с CMR 17.04). Возможно, вам также следует написать транспортное правило, которое использует regex для поиска Mass PII. Massachusetts PII определяется как комбинация имени и фамилии жителя, соединенная с одним из следующих данных: номер водительских прав, номер кредитной карты или номер социального страхования. Возможно, вы захотите сделать BCC этих сообщений для последующей обработки в другом почтовом ящике или просто вести подсчет обращений.
Ответ 3
Нужно ли шифровать только транзитную информацию (SMTP/TLS), или ее нужно шифровать и в хранилище/на конечных точках (PGP и т. д.)?
Работая с подобными требованиями, я обычно устанавливал PKI/SMTP/TLS между двумя или более организациями, которые часто отправляют/получают частную/защищенную информацию; я просто устанавливал smarthost в каждой организации, соответствующий рассматриваемым доменам, для маршрутизации почты через VPN-туннель «сайт-сайт», когда это применимо, или было использовано SMTP/TLS для шифрования почты при передаче с помощью Exchange.
Ответ 4
Вы можете попробовать использовать шлюз шифрования электронной почты Djigzo. Djigzo Email Encryption Gateway - это централизованно управляемый почтовый сервер (MTA) с открытым исходным кодом, основанный на стандартах с открытым исходным кодом, который шифрует и дешифрует вашу входящую и исходящую почту на уровне шлюза. В настоящее время Djigzo Email Encryption Gateway поддерживает два стандарта шифрования: S/MIME и PDF-шифрование электронной почты. S/MIME обеспечивает аутентификацию, целостность сообщения и отказоустойчивость (с помощью сертификатов X.509), а также защиту от перехвата сообщений. S/MIME использует шифрование с открытым ключом (PKI) для шифрования и подписи. Шифрование PDF может использоваться как легкая альтернатива шифрованию S/MIME. PDF позволяет расшифровывать и читать зашифрованные PDF-документы. Документы PDF могут даже содержать вложения, встроенные в зашифрованный PDF. Пароль для PDF может быть установлен вручную для каждого получателя или пароль может быть сгенерирован случайным образом и отправлен получателю через текстовое SMS-сообщение.
Djigzo Email Encryption Gateway имеет встроенный центр сертификации, который можно использовать для выпуска сертификатов X.509 для внутренних и внешних пользователей. Внешний пользователь может использовать сертификат с любым почтовым клиентом, поддерживающим S/MIME, таким как Outlook, Outlook express, Lotus Notes, Thunderbird, Gmail и т.д. Поскольку шлюз шифрования электронной почты Djigzo функционирует как общий почтовый сервер SMTP, он совместим с существующими почтовыми инфраструктурами, такими как Microsoft Exchange и Lotus Notes. Djigzo может быть установлен с помощью одного из предоставленных пакетов для Ubuntu Linux, Debian, Red Hat и CentOS. Имеется готовое к работе «Виртуальное устройство» для VMware ESX и Workstation. Поскольку программа имеет открытый исходный код, ее можно свободно использовать. Исходные тексты и бинарные пакеты можно загрузить с нашего сайта (www.djigzo.com).
Ответ 5
Вообще-то, подобные требования предписывает шифровать сензитивные данные, а не обязательно сообщение. Если данные представляют собой файл (а обычно это так и есть), то самый простой метод - просто зашифровать файл. Предположим, что ваша цель - чрезвычайно простое в использовании и развертывании решение, которое будет работать с разнообразной клиентской базой. Encryption Wizard (http://spi.dod.mil/ewizard.htm) исследовательской лаборатории - это бесплатный, аккредитованный DoD простой шифровальщик файлов. Он работает с паролями, смарт-картами и сертификатами. Его Secure Delete может стереть сенситивный файл с общедоступного компьютера.
Кроме наличия Java, ничего не нужно устанавливать или настраивать на любом компьютере - просто запустите файл .jar. Encryption Wizard работает на Mac, Windows, Linux, Sun и других ОС, на которых используется Oracle Java. С помощью EW с нуля вы можете зашифровать и отправить файл в течение минуты, а получатель может расшифровать его за такое же время (при условии, что вы используете сертификат или звоните человеку с паролем).
Существуют лучшие решения для крупных предприятий, но мы не нашли ничего лучшего, что могло бы работать практически для всех, везде и в любое время.
Linux