Announcement

Collapse
No announcement yet.

openXChange CE GnuPG implementierung

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • openXChange CE GnuPG implementierung

    Hallo openXChange-Entwickler,

    da ich über die Suchfunktion keine Art Roadmap gefunden habe Frage ich nun hier im Forum: Ist in naher Zukunft geplant das openXChange GnuPG unterstützt? Sodass eMails direkt von openXChange zertifiziert/verschlüsselt werden können?

    MfG
    Christoph

  • #2
    Hi,

    Das Thema Verschlüsselung ist bereits öfters angesprochen worden. Leider gibt es dabei einige Hindernisse.

    Entweder macht man es über ein Browser-Plugin, das wäre dann nicht plattformübergreifend und erfordert Modifikationen am Browser. Unser Ziel ist es, möglichst ohne Client-Erweiterungen (Flash, Gears, Air...) auszukommen.

    Alternativ könnte man die Verschlüsselung am Server vornehmen, dann bräuchte man jedoch den private-key des Benutzers. Ein Benutzer mit etwas Sicherheitsbewusstsein wird seinen private-key niemals auf einen fremden Server hochladen, geschweige denn auf eine shared hosting Plattform.

    Falls du weitere Ideen zu dem Thema hast, immer raus damit

    Gruß
    Last edited by Martin Heiland; 02-01-2011, 10:10 AM.

    Comment


    • #3
      Hi,

      ich denke die Einwende gegen ein Browser-Plugin sind durchaus berechtigt. Allerdings sollte eine Möglichkeit geschaffen werden, sodass andere Entwickler, aus der Community, Browser-Plugins programmieren können, alla OXtender für Thunderbird. Ich kenne mich zu wenig mit BrowserPlugins aus, aber ich denke eine Art API (so schön Dokumentiert wie die HTTP-API) würde den ein oder anderen (Hobby-)Programmier dazu bringen ein Plugin für seinen Browser den er tag täglich benutzt zu schreiben.

      Die Einwenden gegen eine Implementierung direkt auf dem Server verstehe ich nicht ganz. Ich denke es gibt viele Benutzer die ihre openXChange installation auf einem eigenen Server installiert haben (zu denen ich auch gehöre). In diesem Fall würde ich kein Problem sehen, den private-key auf dem "Server" zu speichern. Ein weiteres Szenario, was meiner Meinung nach auch des öfteren vor kommt, ist das openXChange auf einem root-Server bzw. virtuellen root-Server installiert wurde. Auch hier hätte ich, solang es nicht um wirklich wichtige Dinge geht, keine Probleme damit meinen private-key auf dem Server zu speichern.
      Nur bei den Resaleprodukten die von Hostern verkauft werden, wo man dann keinen Shellzugriff hat, denke ich ist es sehr problematisch. Aber diese eine Fall, sollte nicht den anderen zwei anderen Fällen so ein nice-to-have Feature wie GnuPG-Unterstützung verwehren.

      Zusammenfassend würde ich sagen ist eine GnuPG-Erweiterung auf jeden Fall eine wünschenswerte und sinnvolle Erweiterung für den openXChange-Server. Im Zusammenspiel mit einer API und einem aktiven openSource-Projekt, das ein Browserplugin entwickelt, wären auch alle Benutzer die openXChange "nur" bei einem Hoster benutzen gut bedient.

      MfG
      Christoph

      Comment


      • #4
        Hi,

        die Bereitstellung einer API auf dem Server macht nur eingeschränkt Sinn. Wenn die API und das Konzept erstmal steht, ist es relativ einfach die letzten Schritte auch noch zu gehen. Wir kennen natürlich nicht alle Installationen, aber in den meisten Fällen arbeiten mehr als ein Benutzer auf einer OX. Die Implementierung per Browser-Plugin kann auf den ersten Blick bereits mit der bestehenden API realisiert werden. Das Plugin müsste entsprechend die E-Mail vor dem versenden modifizieren und den Inhalt verschlüsseln/signieren.

        Auch wenn alle Nutzer in der gleichem Umgebung (Firma, Verein...) daran arbeiten, bedeutet das eben nicht, dass man die PK zentral sammeln und zugänglich machen sollte. Eine Hauptaufgabe von PKI ist nicht nur die Verschlüsselung sondern auch die Authentizität sicherzustellen. Sicherlich gibt es da verschiedene Standpunkte aber wir versuchen eine Software auszuliefern die "security by default" bietet und wenn möglich auf potentiell gefährliche Vorgehensweisen verzichtet. Das hochladen des PK auf einen Server der nicht im eigenen Einflussbereich steht (rootserver, vserver...) stellt üblicherweise schon einen Bruch der Vertraulichkeit dar.

        Gruß

        Comment


        • #5
          Originally posted by Christoph Häfner View Post
          Hi,

          ich denke die Einwende gegen ein Browser-Plugin sind durchaus berechtigt. Allerdings sollte eine Möglichkeit geschaffen werden, sodass andere Entwickler, aus der Community, Browser-Plugins programmieren können, alla OXtender für Thunderbird. Ich kenne mich zu wenig mit BrowserPlugins aus, aber ich denke eine Art API (so schön Dokumentiert wie die HTTP-API) würde den ein oder anderen (Hobby-)Programmier dazu bringen ein Plugin für seinen Browser den er tag täglich benutzt zu schreiben.
          Alles, was man dafür brauchen würde, bietet unserer JSON HTTP API.
          Es gibt auch bereits zumindest einen Open-Xchange Partner, der das Problem schon gelöst hat.

          Die Einwenden gegen eine Implementierung direkt auf dem Server verstehe ich nicht ganz. Ich denke es gibt viele Benutzer die ihre openXChange installation auf einem eigenen Server installiert haben (zu denen ich auch gehöre). In diesem Fall würde ich kein Problem sehen, den private-key auf dem "Server" zu speichern. Ein weiteres Szenario, was meiner Meinung nach auch des öfteren vor kommt, ist das openXChange auf einem root-Server bzw. virtuellen root-Server installiert wurde. Auch hier hätte ich, solang es nicht um wirklich wichtige Dinge geht, keine Probleme damit meinen private-key auf dem Server zu speichern.
          Nur bei den Resaleprodukten die von Hostern verkauft werden, wo man dann keinen Shellzugriff hat, denke ich ist es sehr problematisch. Aber diese eine Fall, sollte nicht den anderen zwei anderen Fällen so ein nice-to-have Feature wie GnuPG-Unterstützung verwehren.

          Zusammenfassend würde ich sagen ist eine GnuPG-Erweiterung auf jeden Fall eine wünschenswerte und sinnvolle Erweiterung für den openXChange-Server. Im Zusammenspiel mit einer API und einem aktiven openSource-Projekt, das ein Browserplugin entwickelt, wären auch alle Benutzer die openXChange "nur" bei einem Hoster benutzen gut bedient.

          MfG
          Christoph
          Ob mein seinen privaten Key auf einem Server zentral speichern mag oder nicht, ist natürlich ein heikles Thema und es gibt viele Meinungen dazu.
          Enterprise Lösungen machen das zumindest so und das auch noch transparent für den Benutzer.
          Die Implementierung einer solchen Lösung ist natürlich aufwendig und im typischen OX Umfeld (Hosting) nicht so gefragt.
          Aus diesem Grund existiert sie nicht bislang.

          Comment


          • #6
            Hallo,

            ich habe auch schon nach zentraler Mail-Verschlüsselung gesucht. Ich finde es ganz angenehm den Nutzer eine Mailsystems von der Komplexität zu entbinden. Ich kenne unter Linux zwei Systeme:
            1. GNU Anubis: Hierzu konnte ich nicht allzuviele weiterführende Informationen finden.
            2. Djigzo: Ein neueres System, dass zumindest auf dem ersten Blick gut aussieht. Ich habe vor diese in naher Zukunft einmal zu implementieren. Hier noch zwei Links zu Djigzo: http://www.djigzo.com/ + http://www.admin-magazin.de/content/...ung-mit-djigzo

            Vielleicht hilft Euch das ja weiter. Wäre schön wenn Ihr - sofern Ihr hiermit Erfahrungen ahbt / sammeln konntet - etwas posten könntet

            Das war es.

            Gruss
            Michael

            Comment


            • #7
              Danke für die Kommentare der OX-Vertreter.

              Dann kann man wohl zusammenfassend sagen, dass es von openXChange in naher Zukunft keine Komplettlösung für Emailverschlüsselung (GnuPG) zu erwarten ist. Die bestehende API es aber durchaus zulässt.

              djigzo sieht interessant aus, das werd ich mir mal anschauen und meine Erfahrungen dann auch gerne hier wieder einstellen.

              MfG
              Christoph

              Comment


              • #8
                Originally posted by Christoph Häfner View Post
                Dann kann man wohl zusammenfassend sagen, dass es von openXChange in naher Zukunft keine Komplettlösung für Emailverschlüsselung (GnuPG) zu erwarten ist. Die bestehende API es aber durchaus zulässt.
                Das kann man nie so genau sagen.
                Sobald ein Kunde kommt, und das bezahlt, ist es drin.

                Comment


                • #9
                  Ist es dann auch in der Community Edition drin?

                  Comment


                  • #10
                    Ja. Der Code fuer Community, SE und HE ist der selbe.

                    Comment


                    • #11
                      Wie viel Geld muss dann für sowas auf den Tisch legen?
                      Last edited by Christoph Häfner; 02-03-2011, 03:31 PM.

                      Comment


                      • #12
                        Naja, allein das zu ermitteln ist schon so aufwendig, dass wir es wohl nur aufgrund einer ernsthaften Anfrage machen werden... ;-)

                        Comment


                        • #13
                          Hmm ... hört sich nach einer ganz schönen Summe Geld an. Vielleicht könnte ich aber trotzdem eine Einschätzung von dir bekommen: Wäre es realistisch das man in einem Zeitraum von ca. einem Jahr genug Spendengelder zusammen bekommen könnte?
                          Ich denke dabei an eine konstantierte Communityaktion

                          Comment


                          • #14
                            Ich glaube in dem Fall hilft es eher, wenn das entsprechende Modul beigesteuert/gespendet wird. OX6 basiert auch serverseitig auf einer Pluginarchitektur und ist sehr gut erweiterbar. Dafür Geld zu sammeln ist wahrscheinlich kein besonders guter Anreiz, solche Features kosten mit allem drum-und-dran gerne fünfstellige Beträge. Ob in den nächsten Monaten ein Kunde so etwas haben und bezahlen will, lässt sich schlecht sagen. Derzeit läuft viel über die Hosting-Schiene und dort sind solche Features eher weniger interessant. Dennoch hat es auch in der Vergangenheit schon wertvolle und gute Contributions gegeben. Beispielsweise diverse Adminguis, Migrationstools, Konnektoren usw.

                            Comment


                            • #15
                              Da muss ich dir recht geben, für einen fünfstelligen Betrag zu sammeln hat wohl eher keinen Sinn.

                              Ein Plugin ist eine äußerst gute Idee, hatte ganz vergessen das openXChange diese Art von Erweiterung ja auch noch möglich macht.

                              Comment

                              Working...
                              X