Hi,

Das Thema Verschlüsselung ist bereits öfters angesprochen worden. Leider gibt es dabei einige Hindernisse.

Entweder macht man es über ein Browser-Plugin, das wäre dann nicht plattformübergreifend und erfordert Modifikationen am Browser. Unser Ziel ist es, möglichst ohne Client-Erweiterungen (Flash, Gears, Air...) auszukommen.

Alternativ könnte man die Verschlüsselung am Server vornehmen, dann bräuchte man jedoch den private-key des Benutzers. Ein Benutzer mit etwas Sicherheitsbewusstsein wird seinen private-key niemals auf einen fremden Server hochladen, geschweige denn auf eine shared hosting Plattform.

Falls du weitere Ideen zu dem Thema hast, immer raus damit

Gruß

Hi,

ich denke die Einwende gegen ein Browser-Plugin sind durchaus berechtigt. Allerdings sollte eine Möglichkeit geschaffen werden, sodass andere Entwickler, aus der Community, Browser-Plugins programmieren können, alla OXtender für Thunderbird. Ich kenne mich zu wenig mit BrowserPlugins aus, aber ich denke eine Art API (so schön Dokumentiert wie die HTTP-API) würde den ein oder anderen (Hobby-)Programmier dazu bringen ein Plugin für seinen Browser den er tag täglich benutzt zu schreiben.

Die Einwenden gegen eine Implementierung direkt auf dem Server verstehe ich nicht ganz. Ich denke es gibt viele Benutzer die ihre openXChange installation auf einem eigenen Server installiert haben (zu denen ich auch gehöre). In diesem Fall würde ich kein Problem sehen, den private-key auf dem "Server" zu speichern. Ein weiteres Szenario, was meiner Meinung nach auch des öfteren vor kommt, ist das openXChange auf einem root-Server bzw. virtuellen root-Server installiert wurde. Auch hier hätte ich, solang es nicht um wirklich wichtige Dinge geht, keine Probleme damit meinen private-key auf dem Server zu speichern.
Nur bei den Resaleprodukten die von Hostern verkauft werden, wo man dann keinen Shellzugriff hat, denke ich ist es sehr problematisch. Aber diese eine Fall, sollte nicht den anderen zwei anderen Fällen so ein nice-to-have Feature wie GnuPG-Unterstützung verwehren.

Zusammenfassend würde ich sagen ist eine GnuPG-Erweiterung auf jeden Fall eine wünschenswerte und sinnvolle Erweiterung für den openXChange-Server. Im Zusammenspiel mit einer API und einem aktiven openSource-Projekt, das ein Browserplugin entwickelt, wären auch alle Benutzer die openXChange "nur" bei einem Hoster benutzen gut bedient.

MfG
Christoph

Hi,

die Bereitstellung einer API auf dem Server macht nur eingeschränkt Sinn. Wenn die API und das Konzept erstmal steht, ist es relativ einfach die letzten Schritte auch noch zu gehen. Wir kennen natürlich nicht alle Installationen, aber in den meisten Fällen arbeiten mehr als ein Benutzer auf einer OX. Die Implementierung per Browser-Plugin kann auf den ersten Blick bereits mit der bestehenden API realisiert werden. Das Plugin müsste entsprechend die E-Mail vor dem versenden modifizieren und den Inhalt verschlüsseln/signieren.

Auch wenn alle Nutzer in der gleichem Umgebung (Firma, Verein...) daran arbeiten, bedeutet das eben nicht, dass man die PK zentral sammeln und zugänglich machen sollte. Eine Hauptaufgabe von PKI ist nicht nur die Verschlüsselung sondern auch die Authentizität sicherzustellen. Sicherlich gibt es da verschiedene Standpunkte aber wir versuchen eine Software auszuliefern die "security by default" bietet und wenn möglich auf potentiell gefährliche Vorgehensweisen verzichtet. Das hochladen des PK auf einen Server der nicht im eigenen Einflussbereich steht (rootserver, vserver...) stellt üblicherweise schon einen Bruch der Vertraulichkeit dar.

Gruß

Alles, was man dafür brauchen würde, bietet unserer JSON HTTP API.
Es gibt auch bereits zumindest einen Open-Xchange Partner, der das Problem schon gelöst hat.

Ob mein seinen privaten Key auf einem Server zentral speichern mag oder nicht, ist natürlich ein heikles Thema und es gibt viele Meinungen dazu.
Enterprise Lösungen machen das zumindest so und das auch noch transparent für den Benutzer.
Die Implementierung einer solchen Lösung ist natürlich aufwendig und im typischen OX Umfeld (Hosting) nicht so gefragt.
Aus diesem Grund existiert sie nicht bislang.

Hallo,

ich habe auch schon nach zentraler Mail-Verschlüsselung gesucht. Ich finde es ganz angenehm den Nutzer eine Mailsystems von der Komplexität zu entbinden. Ich kenne unter Linux zwei Systeme:
1. GNU Anubis: Hierzu konnte ich nicht allzuviele weiterführende Informationen finden.
2. Djigzo: Ein neueres System, dass zumindest auf dem ersten Blick gut aussieht. Ich habe vor diese in naher Zukunft einmal zu implementieren. Hier noch zwei Links zu Djigzo: http://www.djigzo.com/ + http://www.admin-magazin.de/content/...ung-mit-djigzo

Vielleicht hilft Euch das ja weiter. Wäre schön wenn Ihr - sofern Ihr hiermit Erfahrungen ahbt / sammeln konntet - etwas posten könntet

Das war es.

Gruss
Michael

Danke für die Kommentare der OX-Vertreter.

Dann kann man wohl zusammenfassend sagen, dass es von openXChange in naher Zukunft keine Komplettlösung für Emailverschlüsselung (GnuPG) zu erwarten ist. Die bestehende API es aber durchaus zulässt.

djigzo sieht interessant aus, das werd ich mir mal anschauen und meine Erfahrungen dann auch gerne hier wieder einstellen.

MfG
Christoph

Das kann man nie so genau sagen.
Sobald ein Kunde kommt, und das bezahlt, ist es drin.

Ist es dann auch in der Community Edition drin?

Ja. Der Code fuer Community, SE und HE ist der selbe.

Wie viel Geld muss dann für sowas auf den Tisch legen?

Naja, allein das zu ermitteln ist schon so aufwendig, dass wir es wohl nur aufgrund einer ernsthaften Anfrage machen werden... ;-)

Hmm ... hört sich nach einer ganz schönen Summe Geld an. Vielleicht könnte ich aber trotzdem eine Einschätzung von dir bekommen: Wäre es realistisch das man in einem Zeitraum von ca. einem Jahr genug Spendengelder zusammen bekommen könnte?
Ich denke dabei an eine konstantierte Communityaktion

Ich glaube in dem Fall hilft es eher, wenn das entsprechende Modul beigesteuert/gespendet wird. OX6 basiert auch serverseitig auf einer Pluginarchitektur und ist sehr gut erweiterbar. Dafür Geld zu sammeln ist wahrscheinlich kein besonders guter Anreiz, solche Features kosten mit allem drum-und-dran gerne fünfstellige Beträge. Ob in den nächsten Monaten ein Kunde so etwas haben und bezahlen will, lässt sich schlecht sagen. Derzeit läuft viel über die Hosting-Schiene und dort sind solche Features eher weniger interessant. Dennoch hat es auch in der Vergangenheit schon wertvolle und gute Contributions gegeben. Beispielsweise diverse Adminguis, Migrationstools, Konnektoren usw.

Da muss ich dir recht geben, für einen fünfstelligen Betrag zu sammeln hat wohl eher keinen Sinn.

Ein Plugin ist eine äußerst gute Idee, hatte ganz vergessen das openXChange diese Art von Erweiterung ja auch noch möglich macht.