Autor Thema: Internet Zertifikat, SMIME Handling  (Gelesen 6421 mal)

Offline immanuel

  • Senior Mitglied
  • ****
  • Beiträge: 461
  • Geschlecht: Männlich
    • Freshpixel Fotostudio
Internet Zertifikat, SMIME Handling
« am: 12.02.05 - 09:26:53 »
Hallo Zusammen

Ich habe meine ersten Gehversuche mit Internet Zertifikaten und SMIME hinter mir...
Gibt es in Notes 6 noch andere Funktionen, als ein X509 Internet Zertifikat eines E-Mailsenders über "Add Sender zu Adressbook" ins persönliche Adressbuch zu kriegen? Ich finde das etwas umständlich... Kennt ihr sonst noch andere Funktionen, um ein SMIME Mail genauer zu betrachten oder damit umzugehen?

Grüsse
Manuel
IBM Certified System Administrator - Lotus Notes and Domino 6/6.5

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Internet Zertifikat, SMIME Handling
« Antwort #1 am: 12.02.05 - 19:33:01 »
Wirklich praxistauglich für den Normaluser halte ich das alles nicht. Was mit Notes geht und was nicht steht IMHO in der Clienthilfe alles recht gut drin.

Bei uns ist Verschlüsselung derzeit auch wieder ein grosses Thema, allerdings scheint es so, seit die dt. Bundesregierung sich sehr stark gemacht für GnuPGP, andere Verfahren wie S/MIME kaum gefragt sind. Habe kürzlich eine Studie gelesen (habe leider im Moment keinen Link) das bei Mailverschlüsselung im Moment PGP (in allen Varianten) einen Marktanteil von ca. 80% hat...

Wir haben derzeit mehrere Kunden welche verschlüsseln möchten und alle möchten PGP (i.d.R. GnuPGP).

Wir testen derzeit CryptoEx (Clientlösung - sehr einfach zu bedienen - kann S/MIME und PGP, hat aber einige Haken) und parallel noch Julia (http://www.iccgmbh.com/de/produkte/JULIA/julia.htm) - serverbasierende Lösung.  Was mir immer mehr auffällt wie wenig wirklich Verschlüsselung eingesetzt wird, ausser CryptoEx habe ich keine m.E. sinnvolle Notesclientlösung gefunden (ausser zwei die sich aber tief in die Mailschablone reinhängen, was ich aber nicht wollte).

An die Notes-Dienstleister/Firmen hier:  ich sehe hier noch eine richtige Marktlücke und denke das dies für manche vermutlich auch machbar wäre.  140€ pro Client bei Crypto-Ex halte ich auch nicht wirklich für ein Schnäppchen...

Gruss
Martin

PS: Die Auswahl an Produkten zum Thema Verschlüsselung ist IMHO nicht wirklich gross (wenn's wirklich komfortabel sein soll - WinPT u.ä. lasse ich jetzt mal aussen vor, das taugt IMHO nur wenn es nur um verschlüsselte Dateianhänge geht.

Im nachfolgenden Artikel dürften schon die meisten erwähnt sein. Als reine Noteslösung gibt es noch iCrypt von Group was halt nicht wirklich ein Schnäppchen ist...

http://www.networkers.de/dl/networkers_eMail-Sicherheit.pdf
« Letzte Änderung: 12.02.05 - 19:41:25 von MartinG »
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Glombi

  • Gast
Re: Internet Zertifikat, SMIME Handling
« Antwort #2 am: 12.02.05 - 19:57:44 »
Es gibt noch BCC_MailProtectGateway, das auch S/MIME und PGP kann. Es ist eine serverbasierende Lösung, der ich den Vorzug vor einer Client-basierenden Lösung geben würde.
Was das kostet weiss ich allerdings nicht.

Andreas

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Internet Zertifikat, SMIME Handling
« Antwort #3 am: 12.02.05 - 20:40:02 »
Zitat
Es gibt noch BCC_MailProtectGateway, das auch S/MIME und PGP kann. Es ist eine serverbasierende Lösung, der ich den Vorzug vor einer Client-basierenden Lösung geben würde.

Einerseits ja, wenn es halt um max. Sicherheit geht muss es halt End-to-End Verschlüsselung sein. Wir diskuttieren da derzeit intern ziemlich kontrovers darüber.

Mein Kollege ist der Meinung, das alles was keine End-to-End Lösung ist (d.h. Verschlüsselung bis zum Client mit verschlüsselter Abspeicherung in der Mail-DB) ist keine "echte" Verschlüsselung. Mein Ansatz ist komplett anders, ich sehe die Gefahr eigentlich hauptsächlich bei der Übertragung übers Internet und tendiere deshalb zu einer Mail-Relay Lösung in der DMZ (z.B. Julia). Nach dem "Julia-Server" durchläuft dann das Mail bei den uns üblichen Weg (SpamFilter, ContentFiltering, Virenscanning) und landet dann erst auf dem Domino.
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re: Internet Zertifikat, SMIME Handling
« Antwort #4 am: 12.02.05 - 20:52:37 »
Na ja, mit der ganzen Virenproblematik ist eine End-to-End Lösung tatsächlich sehr delikat. Man weiss ja nicht wirklich, wie gut die Gegenseite geschützt ist, und mit der Verschlüsselung werden mal die Company-basierenden Tests ausgeschaltet.
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline immanuel

  • Senior Mitglied
  • ****
  • Beiträge: 461
  • Geschlecht: Männlich
    • Freshpixel Fotostudio
Re: Internet Zertifikat, SMIME Handling
« Antwort #5 am: 18.02.05 - 11:54:09 »
Hi!
Zu wie die Internet Zertifikat Signatur angezeigt werden kann, habe ich eine nützliche Info gefunden: http://news4notes.com/web/dokumente/notes_smime_p7s.html

Grüsse
Manuel
IBM Certified System Administrator - Lotus Notes and Domino 6/6.5

Offline Peter S.

  • Senior Mitglied
  • ****
  • Beiträge: 429
Re: Internet Zertifikat, SMIME Handling
« Antwort #6 am: 18.02.05 - 12:28:34 »
Wir haben bereits mehrmals Anläufe genommen um eine End-to-end Verschlüsselung zu den Kunden unserer Kunden zu ermöglichen.
Es scheitert in der Regel nicht an der Technik sondern an der sicheren Verwaltung der Schlüssel.
Da zählt dazu:
- Authentifizierung des Zertifikatsinhabers
- Deaktivieren abgelaufener Zertifikate
- Deaktivieren kompromitierter Zertifikate
etc.

Und das ist im Endkundengeschäft praktisch nicht umsetzbar solange die Regierung nicht personengebundene, eindeutige Zertifikate ausgibt
die über eine zentrale Stelle verwaltet werden.

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Internet Zertifikat, SMIME Handling
« Antwort #7 am: 18.02.05 - 13:10:04 »
Zitat
Da zählt dazu:
- Authentifizierung des Zertifikatsinhabers
- Deaktivieren abgelaufener Zertifikate
- Deaktivieren kompromitierter Zertifikate
etc. 

Hier sehe ich eigentlich die wenigsten Schwierigkeiten, der öffentliche Schlüssel wird einmal persönlich überreicht und eingebunden und gut ist...
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline immanuel

  • Senior Mitglied
  • ****
  • Beiträge: 461
  • Geschlecht: Männlich
    • Freshpixel Fotostudio
Re: Internet Zertifikat, SMIME Handling
« Antwort #8 am: 18.02.05 - 13:33:10 »
Hallo Zusammen

Habt ihr schon Erfahrungen mit der CA in Domino 6 gemacht und schon Internet Zertifikate erstellt? Können über die CA nicht konfortabel SMIME Zertifikate erstellt werden?

Sobald ich etwas mehr Zeit habe werde ich mich ein bisschen ins Thema vertiefen...

Grüsse
Manuel
IBM Certified System Administrator - Lotus Notes and Domino 6/6.5

Offline datenbanken24

  • Senior Mitglied
  • ****
  • Beiträge: 390
  • Geschlecht: Männlich
  • Stammgast
    • datenbanken24
Re: Internet Zertifikat, SMIME Handling
« Antwort #9 am: 27.05.05 - 12:56:06 »
Nun ist ja einige Zeit hier vergangen...
Seid ihr weitergekommen?

Wir haben auch die dringende Anforderung, an spezielle Endkunden verschlüsselte Internet-Mails zu versenden.
Das Problem ist, daß diese Mails serverseitig im Backend generiert und versendet werden.

Da versagen die Domino Boardmittel ja kläglich.
In periodischen, respektive Web-Agenten funktioniert ja nicht einmal die Methode "EncryptOnSend", die aber auch nur für notes-interne Verschlüsselung taugen würde.

Gibt es eine Lösung für Backend-Verschlüsselung, egal ob für PGP oder X-509, die nicht gleich zigtausend Euro kosten würde ?

Gruß,
Uwe

Offline datenbanken24

  • Senior Mitglied
  • ****
  • Beiträge: 390
  • Geschlecht: Männlich
  • Stammgast
    • datenbanken24
Re: Internet Zertifikat, SMIME Handling
« Antwort #10 am: 27.05.05 - 15:12:51 »
Oder einfacher gefragt:

Ist es möglich aus einem webgetriggerten Agenten / periodischen Agenten
eine verschlüsselte Internetmail zu versenden ?

Es geht um nur Verschlüsselung, nicht um Signierung.

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Internet Zertifikat, SMIME Handling
« Antwort #11 am: 27.05.05 - 16:44:25 »
Bin gerade im Urlaub, wir testen derzeit aber das Crypt Modul von Group für SMTP. Dieses gibt es auch für den Dominoserver (kostet dort allerdings dann das dreifache an Lizenzgebühren).

Sobald mein Urlaub vorbei ist teste ich weiter, ich gehe aber im Moment davon aus das wir dieses dann kaufen werden. Ist zwar auch nicht die absolut perfekte Lösung, alle anderen zentralen Cryptlösungen sind aber m.E. einfach ziemlich überteuert...
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline CarstenH

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 672
  • Geschlecht: Männlich
Re: Internet Zertifikat, SMIME Handling
« Antwort #12 am: 29.05.05 - 17:32:40 »
...
Habt ihr schon Erfahrungen mit der CA in Domino 6 gemacht und schon Internet Zertifikate erstellt? Können über die CA nicht konfortabel SMIME Zertifikate erstellt werden?...

Komfort ist genau das richtige Wort dafür - wer jemals mit R4 oder R5 Clientzertifikate erstellt (und verteilt) hat wird den CA-Prozeß dafür lieben. Angefangen vom automatischen Erstellen bis hin zur vollautomatischen Aufnahme in die UserID beim End-Nutzer läuft alles problemlos. Keine kryptischen URLs und CA-Datenbanken die beim Client früher mit dem Notes-Browser zu öffnen waren - alles Vergangenheit. Kann ich nur empfehlen mal auszuprobieren.

Etwas problematischer als die technische Seite ist die organisatorische - bisher hab ich noch keinen Kunden erlebt der tatsächlich beim Endnutzer MIME-Verschlüsselung haben wollte, angefangen von der Virenproblematik (kein Scannen möglich am Server) bis hin zur Vertreterregelung (und schwups schon darf die Sekretärin doch wieder mit der Kopie der Chef-ID arbeiten - ansonsten sieht sie einige Mails und Anhänge nur noch leer) gibts da einige Fallen. Auch die von Peter S. angesprochene zentrale Schlüsselverwaltung ist nicht ganz ohne, aber sicher lösbar. Fazit: mit etwas organisatorischem know-how eine Super Sache.

Ich persönlich würde aus vorgenannten Gründen allerdings die serverseitige Verschlüsselung mit einem Enterprise Crypt Modul vorziehen - damit erledigen sich so ziemlich alle Probleme, begonnen von der Schlüsselverwaltung (am besten nur mit Unternehmensschlüsseln - die sind nutzerunabhängig) bis hin zur Möglichkeit des Servers alle Mails scannen und separat regelbasiert intern verschlüsseln zu können (Stichwort Vertreterregelung).

Möchte man dagegen nur Daten mit bestimmten Partnern verschlüsselt übers Netz übertragen (alle Mails zwischen mir und Geschäftspartner X verschlüsselt übertragen) aber auf die verschlüsselte Speicherung oder Verteilung der Public Keys verzichten so bietet sich hier eine ganz andere Möglichkeit an: simpel ein VPN zwischen den Servern implementieren und schon kann keiner mehr meine "Postkarten" mitlesen. Bei sehr vielen Partnern dann allerdings etwas zu viel Aufwand.

...Wir haben auch die dringende Anforderung, an spezielle Endkunden verschlüsselte Internet-Mails zu versenden.
Das Problem ist, daß diese Mails serverseitig im Backend generiert und versendet werden.

Da versagen die Domino Boardmittel ja kläglich.

Das ist so nicht ganz richtig. Die Boardmittel arbeiten sogar genau richtig - allerdings muß man etwas genauer hinter die Kulissen schauen WARUM bestimmte Wege nicht funktionieren und genau da ansetzen.

Was passiert wenn ein Agent eine Mail (verschlüsselt oder nicht) ins Internet sendet?

1. Agent erzeugt Mail ohne Rücksicht auf Empfängerbesonderheiten - alle relevanten Felder der Mail sind Text bzw. RichText.
2. Router muß Mail für alle MIME-Empfänger konvertieren - er erzeugt also aus allen Feldern MIME.
3. MIME Mail geht ins Internet.

Schritt 2 ist das Problem - wenn die Mail in Schritt 1 verschlüsselt worden wäre dann müßte der Router über den Gegenschlüssel verfügen um den Inhalt der Mail umkodieren zu können. Da er den nicht hat = Big Problem.

Was macht ein Notes-Client anders damits aber anscheinend doch funktioniert? Er erzeugt simpel gleich alles im MIME - damit fällt Schritt 2 weg und die Mail geht korrekt (auf Wunsch verschlüsselt) raus.

Ergo - laß deinen Agenten einfach MIME erzeugen und (!) pack den Empfänger samt öffentlichen Schlüssel in ein Adreßbuch auf das der Agent beim Senden zurückgreifen kann (also per DA am sinnvollsten) und vergiß nicht doc.EncryptOnSend = True - es funktioniert tatsächlich auch für Internetempfänger (ich habs im produktiven Einsatz).

Offline datenbanken24

  • Senior Mitglied
  • ****
  • Beiträge: 390
  • Geschlecht: Männlich
  • Stammgast
    • datenbanken24
Re: Internet Zertifikat, SMIME Handling
« Antwort #13 am: 29.05.05 - 18:12:05 »
Hallo Carsten,

danke für Deinen Beitrag - das macht ja wieder etwas Hoffnung,
obwohl ich es noch nicht ganz verstehe...

Habe in den letzten Tagen alles durchgeforstet, was es an Dokus und Foren gibt.
Dort haben alle das gleiche Problem, aber ohne Lösung.

Die Property "EncryptOnSend" hat laut allen Aussagen und auch meinen Tests die Probleme:

1.) greift immer nur auf den NOTES Public Key zu, nicht auf den Internetkey
2.) verschlüsselt auch Internet-Mails mit dem NOTES Public Key,
     der dann beim Internet-Empfänger nicht geöffnet werden kann
3.) funktioniert praktisch generell nur, wenn vom NotesClient gestartet
     nicht serverseitig


Aus der Designer-Hilfe werde ich auch nicht ganz schlau:
Bei der Property "EncryptOnSend" steht nicht explizit, dass es in Webagenten nicht geht.
Bei der Cross-Referenz "@MailEncryptSentPreference" hingegen steht es explizit:
"You cannot use this function in Web applications."


Obwohl schier aussichtslos, machst Du mir wieder Hoffnung mit Deinen Sätzen
- "laß deinen Agenten einfach MIME erzeugen"
- "ich habs im produktiven Einsatz"

Jetzt muß ich erst mal nachsehen, wie ein Agent MIME erzeugen kann.
Würde das dann auch mit Dateianhängen gehen, die in $File und nicht in Richtext-Felder sind?

Vielleicht gibst Du mir noch ein paar Tipps.
Den Empfänger und den Schlüssel habe ich im Directory.

Hoffnungsvoller Gruß,
Uwe

Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re: Internet Zertifikat, SMIME Handling
« Antwort #14 am: 29.05.05 - 22:01:53 »
Ich hab Dominoseitig auch schon einiges rumprobiert und prinzipiell funktioniert das schon alles, allerdings scheitert es zumeist an der organistorischen Seite und hier sehe ich "Spezialisten" wie JuliaMailOffice, das CryptModul von Group, Utimaco Secure E-Mail Gateway absolut vorne...

Mein persönliches Fazit ist: prinzipiell funktioniert es schon, in der Praxis ist aber kaum einsetzbar. Ich würde wenn irgendwie möglich auch auf Serverseitige Verschlüsselung mit einem Key setzen und das ganze in der DMZ terminieren, so das danach noch der Virenscanner und ContentFilter greifen kann...
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz