内联网环境中的证书安全吗?

内联网环境中的证书安全吗?

我们公司有这种拓扑结构:

在此处输入图片描述

新规则规定,Outlook 发送的每个文档都应加密。

我们决定使用PGP

我们已经有了一个证书(自签名)。

the problem is this :

约翰和保罗安装证书。

约翰使用加密公钥.并将 pgp 文件发送给 paul。

保罗需要私钥才能打开它(+验证它)。

等待

私钥是私人的!保罗应该不是可以访问它。

那么保罗将如何解密约翰的数据?

我错过了什么?

(PS:我知道我可以将 pgp 作为插件安装到 Outlook 中 - 但我试图理解保罗无法拥有私钥的概念。)

答案1

在您实施这一操作时,请考虑以下几点。

每个用户必须拥有一个私有和公共 GPG 密钥。他们自己生成密钥,并将公钥交给系统管理员,让每个人都可以使用。然后,John 可以使用 Paul 的公钥加密发给 Paul 的电子邮件,然后只有 Paul 可以使用他的私钥解密。

但要小心!如果 John 希望以后能够阅读他发送的电子邮件,他还必须使用自己的密钥加密电子邮件。这是大多数邮件客户端中的配置选项,不确定 Outlook 是否如此。

但再次小心!如果 Paul 在奇怪的情况下被解雇,并且突然需要审核他的电子邮件,那么您就倒霉了,因为只有 Paul 本人才能解密。这就是为什么最好有一个主 GPG 密钥,并在政策中规定“所有加密文档都必须使用主公钥加密”。主私钥密码应妥善保管,以备紧急情况使用。

此外,如果您打算加密发送给群组的电子邮件,则生成并在群组成员之间共享私钥是有意义的。例如,这可以让系统管理员轻松地在团队内共享密码。

答案2

传统的方法是每个用户都应该有自己的密钥对(私钥/公钥)。公钥应该可供所有用户使用(例如使用 LDAP 服务器),因此,当 John 向 Paul 发送电子邮件时,他会使用 Paul 的公钥加密邮件,以确保只有 Paul 才能阅读这封邮件。请注意,这并不能保证身份验证(您需要为此签署电子邮件),只能保证机密性。

相关内容