Cara termudah untuk mengirim email terenkripsi?

Untuk mematuhi undang-undang perlindungan informasi pribadi yang baru di Massachusetts, perusahaan saya perlu (antara lain) memastikan bahwa kapan saja informasi pribadi dikirim melalui email, itu dienkripsi. Apa cara termudah untuk melakukan ini? Pada dasarnya, saya mencari sesuatu yang akan membutuhkan upaya paling sedikit dari pihak penerima. Jika memungkinkan, saya benar-benar ingin menghindari mereka harus mengunduh program atau melalui langkah apa pun untuk menghasilkan pasangan kunci, dll. Jadi, baris perintah jenis-GPG bukanlah pilihan. Kami menggunakan Exchange Server dan Outlook 2007 sebagai sistem email kami.

Apakah ada program yang bisa kita gunakan untuk mengenkripsi email dengan mudah dan kemudian mengirim faks atau memanggil penerima dengan kunci? (Atau mungkin email kami dapat menyertakan tautan ke situs web kami yang berisi kunci publik kami, yang dapat diunduh penerima untuk mendekripsi surat?) Kami tidak perlu mengirim banyak email terenkripsi ini, tetapi orang-orang yang akan mengirimnya akan tidak terlalu teknis, jadi saya ingin semudah mungkin. Setiap rec untuk program yang bagus akan sangat bagus. Terima kasih.

Kami harus melalui sesuatu yang mirip dengan klien kami untuk PCI. Cara terbaik adalah dengan menggunakan beberapa versi PGP / GPG.

Sekarang dikatakan, itu benar-benar tidak menyakitkan seperti yang Anda pikirkan. Kami telah melakukan ini dengan ratusan pengguna non teknis. Apa yang kami lakukan adalah memilih dua produk - GPG gratis (yang menurut negara bagian Kronick memiliki GUI) serta pembayaran untuk perangkat lunak PGP. Kami menulis beberapa dokumentasi yang benar-benar bagus yang dapat dikirimkan kepada klien kami yang mengajari mereka cara menggunakan perangkat lunak yang mereka pilih serta melatih Manajer Akun kami tentang pemecahan masalah dasar dan cara menggunakan perangkat lunak tersebut.

Itu telah membuat 95% dari masalah yang klien lari ke luar dari antrian TI. Untuk 5% lainnya, kami menyediakan sumber daya TI untuk menjawab pertanyaan, dan dalam kasus terburuk menerima telepon untuk membantu klien.

Sebagai alternatif, kami juga membeli beberapa lisensi winzip sehingga kami dapat menggunakan enkripsi AES bawaan dengan frasa sandi. Perangkat lunak PGP komersial memiliki kemampuan untuk membuat file terenkripsi yang hanya dibuka dengan frasa sandi. Meskipun jujur ​​menggunakan PGP telah bekerja dengan baik saya pikir saya hanya membuat file jenis ini 2 atau 3 kali setahun.

Bukankah lebih mudah meminta mereka memeriksa situs web dengan data yang dienkripsi melalui SSL, dengan tombol untuk mencetak data pada akhirnya? Dengan begitu Anda tidak mentransmisikan apa pun dan Anda mengendalikan penyebaran data.

Apa pun dengan email kemungkinan akan terlalu sulit bagi pengguna Anda; mereka akan melibatkan pembuatan kunci atau mengunduh keyring atau hal-hal lain yang menurut pengguna akan merepotkan atau membingungkan. Biaya dukungan Anda akan meroket, kecuali jika pengguna menyerah dengan frustrasi.

Apakah hanya perlu dienkripsi dalam transit (SMTP / TLS), atau dalam penyimpanan / di titik akhir juga (PGP, dll.)?

Bekerja dengan undang-undang yang serupa, saya biasanya mengatur PKI / SMTP / TLS antara dua atau lebih organisasi yang sering mengirim / menerima informasi pribadi / dilindungi; Saya hanya menyiapkan smarthost di setiap organisasi yang cocok dengan domain yang dimaksud untuk merutekan email melalui terowongan VPN situs-ke-situs bila berlaku atau menggunakan SMTP / TLS untuk mengenkripsi surat yang sedang transit dengan Exchange.

Anda harus melihat Secure Messaging dengan S / MIME dan OWA di Exchange Server 2007 SP1 Jika Anda ingin mengenkripsi pesan. Solusi ini juga memerlukan langkah ekstra karena pengguna harus memilih tombol enkripsi (mungkin juga tidak sah karena Anda harus mengasumsikan bahwa Anda semua pengguna tidak akan pernah melakukan kesalahan dan tidak mengenkripsi email yang seharusnya mereka miliki.) Jika tidak semua Yang perlu Anda lakukan adalah memastikan bahwa tujuan yang ingin Anda kirim Massachusetts PII menggunakan TLS (Anda harus memiliki informasi itu karena Anda harus memeriksa semua orang yang mungkin Anda kirimi Mass.PII sesuai CMR 17.04). Anda mungkin juga harus menulis aturan transport yang menggunakan regex untuk mencari Mass PII. Massachusetts PII didefinisikan sebagai kombinasi dari nama depan dan belakang penduduk yang terhubung dengan salah satu dari yang berikut: Nomor SIM, nomor kartu kredit, atau nomor Jaminan Sosial.

Di luar topik, tetapi germaine ...

Catatan untuk mereka yang membaca ini dan berpikir Anda beruntung tidak tinggal di MA, Kejutan! Jika Anda menyimpan informasi pribadi seorang penduduk Massachusetts, terlepas dari apakah Anda memiliki bisnis atau tidak di Massachusetts, Anda akan dikenakan hukuman yang ditetapkan dalam 201 CMR 17,00. yang bisa menelan biaya $ 100 catatan hilang, dengan maksimum $ 50K per "insiden". MA General Law 93H menyatakan bahwa akan ada denda $ 5.000 per "pelanggaran." Apa sebenarnya artinya itu? Saya tidak berpikir ada yang tahu dan tidak akan sampai seseorang terkena dengan itu.

Penting untuk dicatat bahwa ini bukan topik yang mudah - di sini adalah persetujuan dari diskusi antara saya dan Zypher tentang jawabannya:

saya: Menggunakan segala jenis opsi pengguna akhir memberi Anda tanggung jawab, tidak seperti PCI, undang-undang mengharuskan Anda untuk mengatasi segala masalah yang masuk akal (seperti pengguna joe yang tidak menggunakan teknologi)

Zypher: menggunakan pgp jika pengguna tidak memberi Anda kunci, Anda tidak mengirimnya. Pada dasarnya mereka terpaksa menggunakannya - dalam kasus penggunaan ini - jika tidak mereka A) Jangan mendapatkan data atau B) tidak dapat membaca data.

saya: bagaimana Anda bisa memastikan bahwa setiap pengguna yang mengirim data akan mengenkripsi setiap email? Sama seperti solusi SMIME Anda harus memilih untuk mengenkripsi email Anda yang tidak dapat dipaksakan - atau apakah saya melewatkan sesuatu?

Zypher: Ini cukup sederhana, jika Anda mengirim email yang berisi informasi yang perlu dienkripsi tanpa mengenkripsi, Anda dipecat karena alasan (di akan menyatakan ini berarti tidak ada pengangguran). Tidak semuanya perlu menjadi solusi teknis. Dari pertanyaan ini tidak akan dilakukan terlalu sering sehingga solusi yang lebih terlibat mungkin tidak sebanding dengan biaya / manfaatnya. Jika mereka perlu melakukan ini sepanjang hari setiap hari saya akan menganjurkan tidak menggunakan email sama sekali, dan pindah ke formulir online melalui SSL.

saya: IANAL - tetapi saya terjebak mendengarkan mereka, undang-undang ini secara efektif menyatakan itu harus menjadi solusi teknis- "tapi saya punya kebijakan" adalah bukti de facto bahwa salah satu dari masalah "yang dapat diperkirakan" yang seharusnya Anda mitigasi tidak diredakan. Pelanggar disiplin juga sudah menjadi bagian dari hukum. Lihatlah diskusi ini, informationweek.com/blog/main/archives/2009/02/…

Zypher: Sebenarnya jika Anda membaca 17.03.2.b (di sini: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf ) Saya memiliki kebijakan dan melatih orang-orang saya mengenai hal itu, serta memiliki langkah-langkah disiplin sebenarnya dapat dipertahankan. Bahkan satu-satunya penyebutan solusi teknis adalah untuk mencegah karyawan yang diberhentikan mengakses catatan. IAANAL (Saya Juga Bukan Pengacara).

saya: - 1,2,3 hanyalah hal-hal yang diharapkan untuk dimasukkan bukan solusi definitif, 2b adalah kata-kata spesifik yang berlaku (saya menipu dan bertanya kepada pengacara). Jika Anda harus mengatakan "Saya bisa membela itu" pengadilan mungkin akan menghancurkan Anda. Dengan masalah kepatuhan Anda harus membuktikan bahwa Anda mengikuti regs. Regs secara khusus mengatakan "dapat diduga". Jika Anda berdiri di pengadilan dan mengatakan "baik jika seseorang melanggar kebijakan mereka akan dipecat" penuntutan hanya akan mengatakan "Jadi, Anda mengakui bahwa Anda meramalkan cara untuk kebijakan ini dilanggar, dan tidak mengambil langkah-langkah yang wajar untuk menghapus masalah?"

Zypher: Sialan kau karena selingkuh. Nah sekarang kita harus mendefinisikan yang masuk akal juga, masuk akal untuk perusahaan saya (besar multi-nasional w / 100k + karyawan) tidak sama dengan ibu dan toko pop. Tetapi pada token yang sama saya pikir kita terlalu jauh dari mandat Tanya Jawab situs ... yang sangat disayangkan karena diskusi ini telah memberikan beberapa wawasan yang baik.

saya: itu "cukup dapat diduga" tidak "cukup aman" atau bahkan masuk akal untuk diterapkan. Ingatlah bahwa secara hukum, menggunakan rot13 pada nama orang dan tidak ada yang lain mengikuti standar karena itu adalah bentuk enkripsi. Diskusi ini bermanfaat jadi saya akan mengedit jawaban saya untuk memasukkannya sehingga tidak hilang.

GPG memiliki utilitas untuk windows dan plugin untuk klien email (terutama outlook dan eudora): http://openpgp.vie-privee.org/gnupg-win.htm Ini akan menyesuaikan kebutuhan Anda. Saya harap karena Anda hanya perlu mengklik kanan dan "mengenkripsi", tidak perlu CLI :)

Anda dapat mencoba gateway enkripsi email Djigzo (penafian: Saya penulis Djigzo). Gateway Enkripsi Djigzo Email adalah open source managed email server (MTA) yang didasarkan pada standar sumber terbuka yang mengenkripsi dan mendekripsi email masuk dan keluar Anda di tingkat gateway. Gateway Enkripsi Email Djigzo saat ini mendukung dua standar enkripsi: S / MIME dan email terenkripsi PDF. S / MIME menyediakan otentikasi, integritas pesan dan non-repudiation (menggunakan sertifikat X.509) dan perlindungan terhadap intersepsi pesan. S / MIME menggunakan enkripsi kunci publik (PKI) untuk enkripsi dan penandatanganan. Enkripsi PDF dapat digunakan sebagai alternatif ringan untuk enkripsi S / MIME. PDF memungkinkan Anda untuk mendekripsi dan membaca dokumen PDF terenkripsi. Dokumen PDF bahkan dapat berisi lampiran yang disematkan dalam PDF terenkripsi.

Gateway Enkripsi Email Djigzo memiliki CA bawaan yang dapat Anda gunakan untuk mengeluarkan sertifikat X.509 untuk pengguna internal dan eksternal. Pengguna eksternal dapat menggunakan sertifikat dengan klien email berkemampuan S / MIME seperti Outlook, Outlook express, Lotus Notes, Thunderbird, Gmail dll.

Karena Djigzo Email Encryption Gateway berfungsi sebagai server email SMTP umum, ia kompatibel dengan infrastruktur email yang ada seperti Microsoft Exchange dan Lotus Notes. Djigzo dapat diinstal menggunakan salah satu paket yang disediakan untuk Ubuntu Linux, Debian, Red Hat dan CentOS. Tersedia "Virtual Appliance" yang siap dijalankan untuk VMware ESX dan Workstation.

Karena itu open source, itu bisa digunakan secara bebas. Sumber dan paket biner dapat diunduh dari situs web kami (www.djigzo.com).

Sebenarnya, hukum mengatakan untuk mengenkripsi data pasif, belum tentu pesannya. Jika data adalah file (dan biasanya itu adalah), metode yang paling mudah adalah dengan mengenkripsi file.

Dengan asumsi tujuan Anda adalah solusi yang sangat mudah digunakan dan digunakan yang akan bekerja di basis pelanggan Anda yang beragam ....

Wisaya Enkripsi Laboratorium Penelitian Angkatan Udara AS ( http://spi.dod.mil/ewizard.htm ) gratis, terakreditasi DoD, pengenkripsi file sederhana. Ini menangani kata sandi, kartu pintar, dan sertifikat. Secure Secure Delete-nya dapat menghapus file senstive dari komputer umum.

Selain memiliki Java, tidak ada yang perlu diinstal atau dikonfigurasikan di kedua komputer - jalankan saja file .jar. Enkripsi Wizard berjalan di Mac, Windows, Linux, Sun, dan OS lain yang menjalankan Oracle Java.

Dengan EW, dari nol Anda dapat mengenkripsi dan mengirim file tanpa / dalam satu menit dan penerima dapat mendekripsi dalam jumlah waktu yang sama (dengan asumsi Anda menggunakan sertifikat atau memanggil orang tersebut dengan kata sandi.)

Ada solusi intra-perusahaan besar yang lebih baik, tetapi kami tidak menemukan yang lebih baik yang dapat bekerja untuk hampir semua orang di mana saja kapan saja.