Hallo, ich stehe gerade vor einem Problem bei welchem ich evt. die Hilfe von jemanden benötige, der soetwas selbst schon ein paar mal programmiert hat. Ich schreibe ein Programm welches eine Datei ausgibt. Diese Datei soll per Mail versendet werden. Da die Datei durchaus für längere Zeit im Posteingang auf dem Mailserver liegen kann, soll sie mit einem Passwort geschützt sein. Schützen möchte ich die Datei eigentlich nur vor Personen, die sich unberechtigter Weise Zugang zum Postfach verschaffen. Dabei reicht es ja schon, wenn irgendwo im Internet eine Datenbank geleakt wird und der Empfänger meiner E-mail (mit meiner Datei) zwei mal das selbe Passwort verwendet hat (z.B. bei GMX und einem unbedeutenden Internetforum welches Die Passwörter im Klartext speichert...). Mein Problem ist nun die Übermittlung des Passworts. Sicher aber Umständlich wäre z.B., dass mein Programm ein willkürliches Passwort generiert und in einem Textfenster anzeigt. Dieses Passwort könnte dann über einen zweiten Kanal, z.B. SMS an den Mailempfänger übertragen werden. Ich habe mir auch schon eine Passwortliste überlegt, im Dateinamen der verschlüsselten Datei steht dann eine Nummer, welche der Empfänger dann mit einer Liste abgleichen kann, ähnlich einer TAN-Liste. Die Datei würde dann z.B. 431.7z heißen. Wie macht man soetwas im "professionellen" Umfeld? Natürlich könnte ich in meinem Programm auch ein Salt hinterlegen und das jeweils aktuelle Datum hashen, der Empfänger würde dann ein weiteres Programm zum entschlüsseln benötigen wobei der Salt ja dann bei Sender und Empfänger identisch sein müsste... Hat mir jemand einen Tipp wie man soetwas mit Hand und Fuß sinnvoll umsetzt!?
Sorge dafür dass die Mail nach Empfang vom Adressaten gelöscht wird.
DAS!!! ist meines Erachtens das wichtigste überhaupt. Nur leider habe ich das nicht im Griff. Deswegen ja das Passwort - natürlich mit der Bitte, dass die Mail nach Bearbeitung umgehend gelöscht wird. Immer das selbe Passwort wäre vermutlich auch schon zweckbringend, diese Lösung halte ich aber für etwas "stümperhaft"....
mit PGP verschlüsseln Dann muss gar kein Passwort mitgesendet / übertragen werden.
PGP und die Verschlüsselung der kompletten Mail wurde bereits ausprobiert und scheiterte an den Kenntnissen der Mailempfänger, das war eigentlich meine erste Idee.
Auf nen eigenen Server legen und nach einem Download oder 3 Tage löschen. Verschlüsselung übernimmt HTTPS. Wenn du willst, kannst du ja noch ein Passwort anlegen (immer gleich pro User), dass erst den Link freischaltet. Das Passwort dann am Besten nicht per Email geschickt und alle paar Jahre mal wechseln. Dann wird auch Email nicht zum Versenden von Dateien missbraucht.
Walter schrieb: > PGP und die Verschlüsselung der kompletten Mail wurde bereits > ausprobiert und scheiterte an den Kenntnissen der Mailempfänger, das war > eigentlich meine erste Idee. Dann vielleicht als verschlüsseltes Zip Archiv? Passwort und Verschlüsselung selbst zu machen ist immer eine dumme Idee, es gibt viele kleine Fallen und man muss immer alles richtig machen. Erfahrungsgemäß sollte daher das Konzept doppelt und dreifach Prüfen bevor man ein Bock schießt. Vielleicht ist es auch eine Option wie schon vorgeschlagen das Dokument auf einer Sicheren Internet Seite zu behalten und nur ein Link zu verschicken damit der Empfänger es sich selbst Aktive runter lädt. Aber um ehrlich zu sein ich habe auch noch nicht verstanden was der Angriffs vector ist welchen du versuchst zu verhindern. Denn entweder der Angreifer hat die Skills um eine Email Abzufangen/aufzumachen, bei dieser Art von Angreifen musst du davon ausgehen das er auch einfache Verschlüsselung knacken kann und du brauchst sowas wie PGP, aber das wäre zu Kompliziert wie du sagst. Alternativ könnte dein Angreifer auch ein Admin im System sein dieser hat aber auch die Möglichkeiten das Dokument irgendwo Ungeschützt einzusehen. ( Zum Beispiel nachdem dein Benutzer es gespeichert hat, screenshot etc)
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.