Re: [ml] Consiglio su sistema commerciale per criptare mail

Alle 15:23, lunedì 26 giugno 2006, Mailing List Manager ha scritto:
> ----- Forwarded message from capitan harlock <debharlock(at)gmail.com>
> ----- From: capitan harlock <debharlock(at)gmail.com>
> To: ml(at)sikurezza.org
> Subject: Consiglio su sistema commerciale per criptare mail
>
> Ciao a tutti, volevo chiedervi se avete mai usato/provato i prodotti
> omnisec.
>
> Mi hanno dato da testare una schedina pcmcia contenente penso mia chiave
> pubblica e privata. Io non le ho generate :-)
>
> Chiedo consiglio qua perche' quello che piu' mi lascia perplesso e' che
> dalle ricerche fatte su google escono fuori ben pochi risultati.
>
> Da quanto ho capito il tutto dovrebbe basarsi sul concetto di network, un
> gruppo di chiuso persone che utilizzano lo stesso apparecchietto e si
> scambiano
> le mail criptate con algoritmo *proprietario*.
>


Ciao,
e' come dici tu, si tratta di un sistema di cifratura della messagistica 
interna che funziona con dei plugin installati su outlook....
La scheda che viene fornita ai client viene preventivamente 
inizializzata  "dall'amministratore"  sull "Omnisec 320k" ( non so se si 
tratta di un appliance o di un applicazione ) che genera le chiavi per la 
scheda, e mantiene il repository centralizzato con tutti gli account forniti 
di tale sistema. Quando invece mandi una mail ad un account che non ha i 
requisiti, il sistema a quanto dice la documentazione consente di inviare 
mail in chiaro per quel destinatario.


> Aggiungo una domanda:
> potete consigliarmi un altro prodotto a prova, per quanto umanamente
> possibile,
> di stupido che si basi un sistema piu' aperto?
>

Le funzionalita' sembrano simili a quelle degli HSM (Hardware Security Module) 
che non sono molto "stupidi" o meglio "semplici" da integrare e sono prodotti 
per diversi usi... sia come appliance (HSM Luna o Keyper della A&P) che come 
schede HSM pci (un produttore e' NCipher (che possono essere usate anche come 
accelleratori crittografici hardware)).
Nel primo caso il livello di sicurezza e' FIPS 2.0 (per gli NCipher non ne ho 
la piu' pallida idea), e sono utilizzati principalmente per consentire l'uso 
della chiave privata/pubblica per lettura/firma di messaggi SMIME, 
e " impedire la copia/furto/estrazione della chiave" ... almeno sulla carta...


Per quanto riguarda invece chi ha suggerito di usare pgp... le funzionalita' 
sono molto diverse, l'evoluzione in termini di firma/cifratura dei messaggi 
e'  S/MIME, che fa uso di certificati x509 (quindi emessi da una trusted CA 
(Certification Authority) che consente non solo la cifratura del messaggio, 
ma anche la verifica della firma del certificato del mittente e della sua 
identita' senza bisogno di preventivo scambio di chiavi e consente l'uso su 
scala globale senza doversi mettere a fare un keysigning parti con mezzo 
milione di persone.

In pratica il mittente prima di cifrare il messaggio per un determinato 
destinatario puo' verificare che il certificato del recipient di destinazione 
sia stato generato dalla CA presso cui si fa trust,   e il destinatario, una 
volta ricevuto il messaggio cifrato con la sua chiave e firmato dalla chiave 
del mittente,  oltre a decifrare il messaggio puo' stabilire, verificando la 
firma del messaggio:
che la firma sia valida
che il certificato x509 del mittente sia stato generato dalla CA presso cui si 
fa trust  e che non sia compromesso (tramite verifica sulla CRL (Certificate 
Revocation List emessa dalla CA))
l'identita' del mittente, controllando che l'RFC 822 Name nella parte Subject 
Alternative Name del certificato usato per firmare e l'indirizzo email del 
mittente siano uguali.


Alessandro

--
giobbe