• Bewerte uns auf OMR Reviews: Klick

  • Achtet bitte in den Beiträgen darauf, dass ihr keine Informationen teilt, die der DSGVO unterliegen können. Verpixelt bitte die entsprechenden Stellen in Screenshots, postet hier auf keinen Fall Messagatracks ohne Rücksprache und auch in den Log Files können persönliche oder sensible Daten enthalten sein.

    Macht uns auch bitte per PN darauf aufmerksam wenn ihr etwas seht. Schreibt mich (@sören) einfach direkt an. 

Gelöst Nur nach BSI und SOGIS sichere Algorithmen erlauben - Verständnisfrage

mabu

Well-known member
Hallo.

Ich habe am Freitag Euer Powershell-Skript zur Härtung eines Windows-Servers (https://www.nospamproxy.de/de/bsz/) auf unserer GW-Rolle eingesetzt.

Musste anschließend ein Ticket beim Support eröffnen, in dem schon ein wenig geklärt worden ist. Es sind aber noch Fragen offen. Ich möchte hier nun auch nichts parallel aufmachen, will aber trotzdem eine Rückfrage zur Aktivierung von "allowOnlySecureAlgorithmsAccordingToBsiAndSogis" in der "Gateway role.config" fragen. Ist vielleicht für andere auch interessant. Gefunden habe ich in der Doku und im Forum nichts dazu.

Mit SOGIS ist vermutlich https://www.sogis.eu/ gemeint. BSI ist klar.

Nach der Ausführung des Skriptes musste ich feststellen, dass einige Mails direkt permanent abgelehnt worden sind. Es gab hier entweder die Meldung "Der Verschlüsselungsalgorithmus ist nicht erlaubt." oder "Der Signaturalgorithmus ist nicht erlaubt."

Ich hatte das mit dem Aktivieren der Funktion "allowOnlySecureAlgorithmsAccordingToBsiAndSogis" erst gar nicht mitbekommen und es rein auf die Einstellungen davor im Skript bezogen. Daher hat die Fehlereingrenzung bei mir ein wenig gedauert.

Support hat dann auch bestätigt, dass ich die Zeile aus der Config entfernen soll und den Dienst neu starte. Damit wurden die betroffenen Mails dann auch wieder angenommen.

Da es sich bei 3 auf jeden Fall betroffenen Domänen schon um etwas größere "Player" im Gesundheitsmarkt dreht, würde ich denen gerne mitteilen, dass es da ein Problem mit den dort genutzten Algorithmen für Verschlüsselung und Signierung gibt. Ich weiß aber nicht so wirklich, was ich alles mitteilen sollte. Würde da auch gerne offizielle Infos vom BSI mit dazupacken.

Ist im NSP so erkennbar, welcher veraltete Algorithmus dort genutzt wird? oder muss ich da ein erweitertes Logging aktivieren?

Bin auf Rückmeldungen gespannt. Hab so seit Freitag schon wieder ein bisschen was neues dazugelernt.
 
Hallo Martin,

das Hardening erzwingt die Durchsetzung von BSI TR-02102-1 and SOG-IS SCES-ACM. Dies sollte dir auch eigentlich im Messagetrack mit der entsprechenden Aktion angezeigt werden 🤔
Ebenso solltest du in diesem oder in einem nun wieder funktionierenden Message Track die aktuell genutzten Parameter einsehen können.
Mit diesen Infos sowie den Dokumenten vom BSI/SOG-IS kannst du dann deinen Kommunikationspartnern Bescheid geben.

Generell möchte ich hier "warnen" unser Hardening Skript blind auszuführen. Die Härtung nach BSI Vorgaben führt bei jedem unweigerlich zu Problemen mit irgendeinem Partner. Hier sollte also mit Bedacht und entsprechender Vorarbeitet agiert werden um nicht Gefahrzulaufen seinen Großteil an E-Mail Kommunikation stillzulegen.


LG
Jan
 
Hallo Jan.

Das ist dann vermutlich der Hinweis auf PKCS 1.5 wie hier, oder?
1729509792364.png
Wenn ich das in BSI TR-02102-1 richtig lese, ist es ein Legacy Algorithmus, der noch eingesetzt wird, aber in neuen Systemen nicht mehr zum EInsatz kommen sollte.

Aber irgendwie ist mir das auch unklar. Schaue ich mir eine von uns ausgehende verschlüsselte Mail an, sehe ich da folgenden Eintrag
1729510010582.png

Die Angaben sind die gleichen. Bin nun noch verwirrter als vorher.
 
Triple-DES ist für Kompatibilität noch nach RFC zu nutzen. Gilt aber nicht als ausreichend sicher.

Wenn dein Messagetrack an den gleichen Partner geht wie der vom Empfang, dann ist es logisch, dass der NSP das macht da er vom Partner dessen gewünschte Technik gelernt hat. Im Partner kannst du das umstellen, das kann aber natürlich dazu führen, dass der Partner die E-Mail nicht mehr verarbeiten kann.

Hier sollte die Gegenseite also aktiv werden ;)
 
War eigentlich ein anderer Partner aber wundern würde es mich nicht, wenn dessen Mails ansonsten auch ab Umstellung abgelehnt worden wären.

Ich lasse das mal mit einer möglichen Planung von "BSI and SOGIS"-aktivieren. Das wird eh eine unendliche Geschichte, wenn ich da was an Infos weitergebe.
 
Zurück
Oben