Mails an externe Empfänger signieren...

[max.power]

Hallo und schönen Abend,

habe die Anforderung erhalten, Mails an externe Empfänger (also eMails) digital zu signieren, damit der Empfänger sicher sein kann, dass das eMail wirklich von unserer Organisation stammt.

Leider habe ich von der Materie (S/MIME) - ja: So gut wie keine Ahnung und weiss auch nicht genau, wo ich ansetzen soll (die Suche hier hat mir leider nicht weiter geholfen - bitte um Nachsicht, sollte ich lediglich nicht genau gesucht haben )

Es geht hier also nicht um die Verschlüsselung von eMails (das können und wollen wir unseren eMailempfängern gar nicht antun, einen öffentlichen Schlüssel importieren zu müssen), sondern lediglich um eine Art Zertifikat, das mitgeschickt wird (als Datei? als URL?!), das bestätigt, dass das Mail von unserer Firma kommt.

Ist so eine digitale Signatur überhaupt möglich, ohne dass der Empfänger einen öffentlichen Schlüssel braucht? Ich selbst kann mir nicht vorstellen, dass das geht bzw. Sinn macht (wenn so eine "offene Signatur" abgefangen wird (in welcher Form sie auch immer vorliegt), so könnte sie ja problemlos für fremde Zwecke kopiert und missbraucht werden...).

Haltet mich bitte nicht für blöd, sollte ich hier Schwachsinn erfragen (weil vllt. logisch und technisch nicht umsetzbar), aber "es wurde gehört, dass das so geht" und ich muss mich jetzt schlau machen, ob das stimmt und wie das gehen kann 

Weiss da zufällig jemand was? Ich wäre schon dankbar für ein "geht ohne öffentlichen Schlüssel gar nicht!" - denn dann wäre die ganze Sache sowieso schon gestorben 

Danke!
Max

[Semeaphoros]

Du siehst das schon richtig, ohne öffentlichen Schlüssel geht dat nich. Was natürlich möglich ist, dass ihr euer X509-Zertifikat (für teures Geld) bei einem der bekannten Schlüsselverkäufer (Verisign zum Bleistift) einkauft, dann kann der Empfänger, statt einen Schlüssel selber zu importieren, den Schlüssel via diese zentrale Verifizierungsstelle überprüfen lassen. Ansonsten ist das richtig, dass es ohne irgend einen externen Schlüsselverwalter oder einen (eigenen zu verteilenden) öffentlichen Schlüssel nicht geht.

[max.power]

Hi,

danke für deine rasche Antwort!
Kannst du mir zu der Sache mit "Empfänger kann Schlüssel überprüfen lassen" noch ein paar Details geben?

Was genau ist am Server zu tun? CA-Prozess einrichten? Oder genügt ein zentraler Import des Zertifikats ins NAB und es wandert beim User in die user.id? Was genau erhält dann der Empfänger: Einen Dateianhang oder/und eine URL, wo er auf Wunsch draufklickt und zum Zertifikatsaussteller gelinkt wird, wo dann eine Message aufpoppt: "Ja, das Mail ist von denen!"?

Oberste Priorität ist auf jeden Fall, dass der Empfänger keinen Aufwand hat. Und wenn er nur bei Bedarf prüfen kann, ob das Mail wirklich von uns kommt, dann wäre das natürlich ideal!

... nur hab ich jetzt leider keinen Plan, wie, was, wo. 

THXALOT,
Max

[Semeaphoros]

Der Empfänger muss nur etwas tun, wenn er den Schlüssel verifizieren will. Dann muss er in sein System den public Key importieren - woher auch immer - und hat dann die Möglichkeit, die Echtheit zu überprüfen. Wie das geschieht, ob mit Popup oder - wie Notes das tut - mit einer Bemerkung in der Statuszeile, ist systemabhängig.

Da digitale Signaturen personenabhängig sein sollten, muss man entweder selber per CA für jeden Nutzer einen X.509 Key generieren und der muss dann vom Benutzer in seine eigene ID aufgenommen werden. Oder man kauft die Schlüssel (mit dem Vorteil, dass man dann an die interessierten Empfänger keine Pub-Keys verteilen muss) für jeden User. Das Vorgehen ist dasselbe: der Key muss von jedem Nutzer ins ID-File aufgenommen werden. Danach läuft das gleich wie eine Notes-Signatur (im Sinne von Unterschrift ) Habs jetzt nicht nachgeschaut, aber vermutlich findest Du das in der Admin-Help beschrieben. Vielleicht findest Dus auch im Redbook über Domino-Security.

[max.power]

OK, danke!
Ich setze mich jetzt mal mit so einer Zertifiziererstelle in Verbindung und werde schauen, dass ich mal so einen X.509-Key bekomme.
Dann kann ich mich daran machen, das mal zu testen.

LG,
Max