21C3: Ciphire Mail

Ciphire Mail ist eine Lösung für sichere e-Mail Kommunikation mit dem Anspruch absolut DAU-tauglich zu sein und gleichzeitig dem kritischen Auge paranoider Sicherheitsexperten stand zu halten. „so easy to use that any user can use it, so secure that even the most paranoid guy would use it

Statt einem neuen e-Mail Client wird in der Firma ein Mail-Proxy installiert, der SMTP, POP3 und IMAP spricht. Später sollen als kommerzielle Lösungen Exchange und Notes dazu kommen. Der Proxy steht für Windows, Linux und MacOS zur Verfügung und soll Quelloffen im ersten Quartal 2005 released werden.
Die Ver- und Entschlüsselung läuft für den User transparent auf dem Proxy ab, er kann seinen gewohnten Mailclient wie bisher benutzen.

Ciphire Labs sind nicht die ersten mit dieser Idee, GPG-Appliances gibt es schon auf dem Markt, aber sie haben sich schon ein paar Gedanken gemacht und diese konsequent umgesetzt. Es wird bewusst auf offene Protokolle und Standards geachtet.

Ein Fortschritt gegenüber GPG ist, dass sämtliche Header (also auch das Subject) verschlüsselt werden. Die verschlüsselte Mail wird dann in einer neuen Mail „getunnelt“. Mails an mehrere Empfänger werden vom Server in Einzelmails gesplittet.

Das Signieren von Body und jedem Attatchment findet einzeln statt. Wenn Content-Scanner wie Viren- oder Spamfilter ein Attatchment entfernen, bleibt die Signatur der anderen Teile der Mail gültig.

Außerdem wird zwischen den einzelnen Ciphire Komponenten die Zeit synchronisiert um Capture/Reply-Angriffe zu verhindern. Beim Hashing wird grundsätzlich doppelt gehasht (double hash method). Das beugt Angriffen durch length-extension vor.

Zwar läuft die Kommunikation zwischen e-Mail Client und Ciphire Server verschlüsselt ab (SSL/TSL), aber die Zertifikate wollen auch verteilt werden.

Unter www.ciphirebeta.com gibt es die Betaversion zum Download. Der Benutzername lautet ususal, dass Passort suspects.

3 Antworten auf „21C3: Ciphire Mail“

  1. Zitat:
    Ciphire Labs sind nicht die ersten mit dieser Idee, GPG-Appliences gibt es schon auf dem Markt, aber sie haben sich schon ein paar Gedanken gemacht und diese konsequent umgesetzt

    Jetzt frage ich mich, was das aber in diesem Satz soll. Ansonsten ciphire funktioniert, aber ist teilweise auch unduchsichtig.

  2. Ich verstehe Deinen Kommentar nicht wirklich. Was ich ausdrücken möchte, ist dass ich die Konzepte hinter Ciphire Mail gut und durchdacht finde. Was findest Du an Ciphire Mail undurchsichtig?

  3. Ich hatte das „Aber“ anderes Interpretiert, und fand daher den Satz etwas wirr.

Kommentare sind geschlossen.