Autor Thema: Der Verschlüsselungsschlüssel wurde nicht gefunden (smime) (Gelesen 9546 mal)

Heiggo · « **am:** 13.05.14 - 22:45:19 »

Hallöle Volk von Deutschland. Nach langer, langer Zeit suche ich mal wieder Tipps oder Hinweise in die richtige Richtung. Oder eine Kopfwäsche

Aus betriebsbedingten Gründen verwenden wir für s/mime ThirdParty-Produkte (cv act s/mail, derzeit 3.1.3) und die Middleware Nexus Personal (derzeit 4.21.3). Arbeitet man in einer AU auf dem Server ist alles schick. Das PlugIn cv act s/mail bringt beim Senden einen zusätzlichen Auswahldialog, in dem der Client mitgeteilt bekommt, ob Notes, oder das PlugIn die Mail behandeln soll (siehe Anlage-01). Der Fehler tritt in der lokalen AU auf, wenn Notes die Mail behandeln soll.

Nutzt man eine lokale AU gehen Mails (extern, intern geht es) nicht raus, sondern bleiben in der lokalen mail.box hängen mit der im Thema benannten Fehlermeldung (siehe Anlage-02), die in der Replikatorseite angezeigt wird. Dabei handelt es sich allerdings um eMails, welche unverschlüsselt versendet werden, jedoch das Häkchen bei signiert gesetzt ist. Notes merkt natürlich, das signieren von Mails an externe Adressen mit Notes-Mitteln nicht funktioniert (siehe Anlage-03).

Das Verhalten tritt auch unter IBM Notes 7.0.3 auf, jedoch ist die Masse schon auf 8.5.2FP3, 8.5.3FP4 und tw. 8.5.3FP6 angehoben. Es tritt in jedem Fall auf. Die Mail wird schlichtweg nicht auf den Server übertragen. Welcher Verschlüsselungsschlüssel will da nur gemeint sein? Es sind definitiv unverschlüsselte Mails $:-\$

By the way, stelle ich in der AU im TAB Mail im Feld 'Format für Nachrichten an Internetnachrichten' von 'MIME-Format' auf 'Notes-Rich-Text-Format' um geht es, aber das ist nicht gewünscht.

Any ideas, wo ich noch schauen könnte?

Gruß aus Stuttgart

Heiggo

m3 · « **Antwort #1 am:** 14.05.14 - 19:07:37 »

Ist bei den Mails ev. das Hackerl "Mail verschlüsseln" gesetzt und der die ID hat kein Internet-Zertifikat (X.509) eingebettet?

Heiggo · « **Antwort #2 am:** 14.05.14 - 19:23:41 »

Zitat von: m3 am 14.05.14 - 19:07:37

Ist bei den Mails ev. das Hackerl "Mail verschlüsseln" gesetzt und der die ID hat kein Internet-Zertifikat (X.509) eingebettet?

Nope, sagte ja oben schon. Unverschlüsselt, das Häkchen ist nicht gesetzt. Lediglich signieren ist gesetzt, was natürlich nicht funktioniert. Aber Notes ist ja schlau genug und sagt es einem. Die X.509-Zertifikate sind nicht eingebettet. Auch in den Personendokumenten im DD sind keine Internet-Zertifikate importiert

Das ist nicht gewünscht.

Gruß aus Stuaget

Heiggo

umi · « **Antwort #3 am:** 15.05.14 - 11:23:32 »

Moin
Das signieren benötigt doch ausch schon ein X.509 Zertifikat oder irre ich mich da?

Heiggo · « **Antwort #4 am:** 15.05.14 - 12:06:54 »

Zitat von: umi am 15.05.14 - 11:23:32

Moin
Das signieren benötigt doch ausch schon ein X.509 Zertifikat oder irre ich mich da?

Upps, sehe gerade, ich habe oben eine kleine entscheidende Info vergessen. Werde das mal nachtragen. Das PlugIn cv act s/mail bringt beim Senden einen zusätzlichen Auswahldialog, in dem der Client mitgeteilt bekommt, ob Notes, oder das PlugIn die Mail behandeln soll. Der Fehler tritt in der lokalen AU auf, wenn Notes die Mail behandeln soll. Deswegen mein Satz in der ersten Antwort, das Notes schlau genug ist, es zu merken und zu motzen

m3 · « **Antwort #5 am:** 15.05.14 - 12:28:42 »

Hast Du mal einen Screenshot von dem Fehler?

Heiggo · « **Antwort #6 am:** 15.05.14 - 13:47:59 »

Jupp, ist zwar nicht sonderlich spannend, aber ich habe mal oben die Sache ein wenig bunter gestaltet und Schirmschüsse spendiert

umi · « **Antwort #7 am:** 15.05.14 - 14:14:54 »

Moin

Steht ja schon alles in der Meldung....
Die User.ID hat kein Internetzertifikat in seiner ID (da dies ja im Normalfall durch das cv zur Verfügung gestellt wird), daher kann die Nachricht auch nicht signiert werden.

Works as Designed würde ich mal sagen.

Heiggo · « **Antwort #8 am:** 15.05.14 - 14:44:28 »

Ach Mist, hatte gedacht, das aus den Screenshots und aus dem Text nun eindeutig ersichtlich ist, das die Mails, die betroffen sind mit NOTES behandelt werden sollen und ins Internet gehen. Notes sagt ja auch, artig wie es ist, das nicht signiert werden kann. Ist ja auch ok so. Und für eine digitale Signatur benötigt man keinen Verschlüsselungsschlüssel! Nebenbei bemerkt... Arbeite ich mit den gleichen Maileinstellungen, aber mit einer Serverbasierten AU, wird die Mail übertragen und alles ist schick.

umi · « **Antwort #9 am:** 15.05.14 - 15:11:53 »

http://technet.microsoft.com/en-us/library/bb123848(v=exchg.65).aspx

m3 · « **Antwort #10 am:** 15.05.14 - 16:31:02 »

Zitat von: Heiggo am 15.05.14 - 14:44:28

Und für eine digitale Signatur benötigt man keinen Verschlüsselungsschlüssel!

Au contrair, mon capitan!

Zitat von: Heiggo am 15.05.14 - 14:44:28

Nebenbei bemerkt... Arbeite ich mit den gleichen Maileinstellungen, aber mit einer Serverbasierten AU, wird die Mail übertragen und alles ist schick.

Ja, weil sich da offensichtlich erst der Server um die Konvertierung von Rich Text nach HTML kuemmert und fuer die digitale Signatur einer Notes-Mail reicht ja die Notes-ID.

Bei einer "lokalen" AU konvertiert der Client von Rich Text auf HTML und versucht dann, weil es sich um eine HTML-Mail handelt, mit einem S/MIME Zertifikat aus dem ID-File zu verschluesseln, was Du nicht hast => Fehlermeldung.

~~Du musst also schaun, ob Du die "lokale" AU so konfigurieren kannst, dass die Mail erst am Server von Notes Rich Text in HTML konvertiert wird.~~

Du hast Dir die "Loesung" ja schon selber gegeben:

Zitat von: Heiggo am 13.05.14 - 22:45:19

By the way, stelle ich in der AU im TAB Mail im Feld 'Format für Nachrichten an Internetnachrichten' von 'MIME-Format' auf 'Notes-Rich-Text-Format' um geht es, aber das ist nicht gewünscht.

Heiggo · « **Antwort #11 am:** 15.05.14 - 21:16:47 »

Ich schätze mal, unser Problem wurde nicht zu 100% verstanden. Egal, ich versuche mal, ob sich ein kleiner Admin gegen strikte Unternehmensrichtlinien durchsetzen kann

Ich selber kapiere halt nach wie vor nicht, warum bei einer serverbasierten AU (Mailfile auf Server) die Mails mit dieser Einstellung klaglos übertragen werden, während in der lokalen AU (Mailfile auf lokal) die gleichen Mails in der mail.box hängen bleiben. Ansonsten sind in den AUs alle Einstellungen identisch.

Und ich raffe einfach nicht, was für ein Verschlüsselungsschlüssel gemeint ist. Zum Signieren benötigt man diesen nicht!

@Urs: Der Link zu Winzigweich ist schon lange bekannt. Know-How über die Bedeutung von Zertifikaten und deren Anwendungen liegen schon massig vor. Wir arbeiten damit seit ca. 2004. Darum geht es grundsätzlich hier aber nicht

Heiggo · « **Antwort #12 am:** 15.05.14 - 22:56:03 »

Zitat von: umi am 15.05.14 - 14:14:54

Die User.ID hat kein Internetzertifikat in seiner ID (da dies ja im Normalfall durch das cv zur Verfügung gestellt wird), daher kann die Nachricht auch nicht signiert werden.

Sorry, ganz vergessen. Das Internetzertifikat kann nicht in die ID-Datei importiert werden. Dazu benötige ich eine P12- oder PFX-Datei. Diese haben wir nicht. Wir arbeiten mit Smartcards, auf der diverse Zertifikate vorhanden sind. Da lassen sich die privaten Schlüssel nicht exportieren. Es geht in erster Linie um die Frage, warum die Mail nicht auf den Server übertragen wird

umi · « **Antwort #13 am:** 16.05.14 - 09:01:01 »

Moin

Dann meine Frage, Wie funktioniert den das Signieren ohne Zertifikat ?

Heiggo · « **Antwort #14 am:** 16.05.14 - 10:06:01 »

Mit den oben genannten Einstellungen gar nicht. Sollte aber meines Wissens nach nicht interessieren. Die Mail hat gefälligst unsigniert raus aus der lokalen mail.box zu wandern. Siehe auch Screenshot-03. Den Dialog dürfte ja schätzungsweise jeder kennen. Tut sie aber nicht, die geht ums verrecken nicht raus

m3 · « **Antwort #15 am:** 16.05.14 - 10:56:36 »

Zitat

Aus den zu signierenden Daten und dem privaten Signaturschlüssel wird durch eine eindeutige Rechenvorschrift die Signatur berechnet. Verschiedene Daten müssen mit an Sicherheit grenzender Wahrscheinlichkeit zu einer anderen Signatur führen, und die Signatur muss für jeden Schlüssel einen anderen Wert ergeben. ...
Soweit der öffentliche Schlüssel mittels eines digitalen Zertifikats einer Person zugeordnet wurde, kann auf Grund dessen, dass es nur einen zum öffentlichen Schlüssel korrespondierenden privaten Schlüssel gibt, über das öffentliche Verzeichnis des Zertifizierungsdiensteanbieters (ZDA) die Identität des Signaturerstellers ermittelt bzw. überprüft werden.

http://de.wikipedia.org/wiki/Digitale_Signatur
Ohne Zertifikat/Schluessel keine Signatur. Wurscht ob das/der nun als Notes-ID File, als X509 Zertifikat im ID-File oder als Smartcard vorliegt.

Heiggo, ich glaube, ich habe Dein Problem schon verstanden, wir sprechen nur noch aneinander vorbei

IMHO liegt das Problem in Deinem Fall an der Notes->Mime Konvertierung und nicht primaer an den Zertifikaten.

Wenn in der Mail das Hackerl "Mail signieren" aktiviert ist, will Notes die Mail digital signieren. Welcher Schluessel nun dafuer zum Einsatz kommt, haengt vom Format der Mail ab:
Wenn Notes-Mails digital signiert werden, nimmt Notes den im ID-File vorhandenen Schluessel fuer die Signatur.
Wenn eine MIME-Mail signiert wird, nimmt Notes per default den im ID-File vorhandenen X.509 Zertifikat/Schluessel.

Wenn er bei einer MIME-Mail keinen X509 Schluessel zur Signierung findet (so wie bei Euch), kommt die Fehlermeldung:

Du hast ja geschrieben, dass wenn Du in der AU im TAB Mail im Feld 'Format für Nachrichten an Internetnachrichten' von 'MIME-Format' auf 'Notes-Rich-Text-Format' umstellst "funktioniert" alles. Damit hast Du ja schon bewiesen, dass es an dem Format der Mail liegt.
Es deutet daher alles darauf hin, dass in der "Server AU" die Mails im Notes-Format versendet werden, und in der "Client AU" im MIME-Format.

Es stellen sich mir daher die folgenden Fragen:
1) Ist in der Server AU das 'Format für Nachrichten an Internetnachrichten' auch auf 'MIME-Format' gesetzt bzw. worin unterscheiden sich die beiden AUs im Tab "Mail"?
2) Braucht das von Euch eingesetzte Tool das Hackerl "Mail signieren" in der Mail um aktiviert zu werden? Wenn nein, dann wuerde ich das entfernen und alles ist gut.

Heiggo · « **Antwort #16 am:** 16.05.14 - 23:13:10 »

Upps, sorry, war so tief drin heute, das ich gar keine Zeit hatte groß zu luschern. Wie es funktioniert weiß ich, aber das sind nur WorkArounds. Bringe das mal allen Nutzern be. Wir reden hier von einer Hausnummer > 140.000

Bastel dir einen Testnutzer ohne importiertes Internetzertifikat (was bei uns eh nicht geht, wie ich schon beschrieb), sende eine Mail (mit einer lokalen AU und den Einstellungen wie bei uns) an deine private Adresse und setze den Haken, das Notes signieren soll. Ich fresse einen Schokobesen, wenn Notes nicht meckert mit der in Anlage-03 bebilderten Meldung. Aber... die Mail wird klaglos übertragen und kommt bei dir an

Stellen wir in den AU's auf Notes-Rich-Text-Format um, was technisch kein Thema wäre, da wir den Marvel-Client verwenden, befürchten wir extreme Performanceprobleme auf den Sörwern

Zu 1:
Nach den Servereinstellungen muss ich mal schauen, geht natürlich nun nicht. Dürfte sich aber eher im Bereich der Konfigurationen bewegen und nicht im Serverdokument. Da bin ich mir aber gerade nicht sicher.
Im TAB Mail unterscheidet sich lediglich der Speicherort der Mail-Datei!
Zu 2:
Nein, grundsätzlich nicht, aber wie sag ich es dem Kinde, äääh den 140.000 Kindern

Alles nicht so einfach. Das Ziel läuft vermutlich darauf hinaus, das wir in den Standardvorgaben des Notes-Clients erzwingen, das die Häkchen Verschlüsseln und Signieren von Mails futsch sind und wir dafür sorgen, das dieser PlugIn-Dialog (Anlage-01) bei der Auswahl, das Notes übernehmen soll die weiteren Felder ausgraut. Allerdings wird man dann auch im Mailtemplate weiter rumschrauben müssen, damit dort die Häkchen nicht wieder gesetzt werden können.

Brrrr.... mich gruselt es, das wird mal wieder schön teuer. Na ja, IT-Sicherheit muss weh tun, hat mir mal einer vor vielen Jahren gesagt. Wäre ich bloß Bäcker geworden

Greetz

Heiggo

Heiggo · « **Antwort #17 am:** 16.05.14 - 23:25:36 »

Zitat von: umi am 16.05.14 - 09:01:01

...Dann meine Frage, Wie funktioniert den das Signieren ohne Zertifikat ?

Wir haben ja Zertifikate. Die befinden sich halt auf einer Smartcard und es ist nur der öffentliche Schlüssel exportierbar, also kann man nichts brauchbares in die ID importieren. Via cv act s/mail-PlugIn ist standardmäßig auch alles schick. Auf dem Sektor macht das PlugIn, was es machen soll. Es schraubt nur an den Einstellungen einer Mail offenbar zuviel rum, obwohl man im beschrieben Fall dem PlugIn sagt, Notes soll die Mail beackern.

Uuuuuuuuuuuuund... meine grundsätzliche Frage bleibt halt... Welcher Verschlüsselungsschlüssel??? Es geht um signieren. Try out, was ich eine Etage höher mit dem Testnutzer beschrieben habe, stelle das Szenario nach und erfreue dich, das dir einer privat geschrieben hat, auch, wenn du es selber warst

Gruß
Heiggo

stoeps · « **Antwort #18 am:** 18.05.14 - 20:03:32 »

Zum Signieren wird der gleiche Schlüssel verwendet wie zum Verschlüsseln!

Wenn du ein Mail signierst, wird eine Prüfsumme der Mail mit deinem Schlüssel erstellt und dein öffentlicher Schlüssel angehängt, deshalb kannst du ja, sobald du eine signierte Mail erhalten hast an diesen Absender verschlüsseln.

Zum Verschlüsseln brauchst du den öffentlichen Schlüssel des Empfängers und unterschreibst zusätzlich mit deinem Schlüssel.

Vorteil der Notesverschlüsselung, du hast die Keystruktur bereits in deiner ID (privater und öffentlicher Schlüssel von dir) und dem Domino Directory (öffentliche Schlüssel aller User).

Für die Internetverschlüsselung bräuchtest du den öffentlichen S/Mime Schlüssel des Empfängers. Fürs signieren deinen private Key.

Das Keymanagement fängt dein Plugin ab (z.B. durch den Lotus Protector) und übernimmt Signatur, Verschlüsselung & Entschlüsselung.

Jetzt hast du natürlich ein Problem mit offline Arbeitsumgebungen und dem Mailformat. Notes RTF verwendet für die Signatur deinen Notes Key aus dem ID File, bei einem Mime Mail will er einen S/Mime Key, den er aber von der Keycard nicht bekommt. Warum auch immer. Welches Mailformat verwendet denn die Online Arbeitsumgebung?

Warum befürchtet ihr Performance Einbussen beim RTF Format? Wegen der Konvertierung am Server?

Heiggo · « **Antwort #19 am:** 22.05.14 - 00:26:00 »

Zitat von: stoeps am 18.05.14 - 20:03:32

Zum Signieren wird der gleiche Schlüssel verwendet wie zum Verschlüsseln!

Ööööhm, VETO!!! Das mag bei einem einfachen Zertifikat stimmen. Wir verwenden jedoch in der Masse Fortgeschrittene. Qualifizierte benötigen nur relaltiv wenige! Auf meiner Smartcard sind z.B. diverse Zertifikate für die unterschiedlichsten Zwecke.

Wie das Ganze funktioniert weiß ich, das hatte ich auch schon geschrieben. Wer die Frage richtig liest, wird aber schnell feststellen, das es mir gar nicht in erster Linie um S/MIME geht. Wir sagen dem PlugIn, das Notes die 'externe' Mail behandeln soll. Notes-Signatur geht halt nicht, Notes merkt das und weist mich darauf hin und gut ist's. Es darf also nix passieren, außer das die Mail auf den Server geschleudert wird. Tut sie aber in der lokalen AU nicht. In der serverbasierten AU ist halt alles schick.

Zitat von: stoeps am 18.05.14 - 20:03:32

Welches Mailformat verwendet denn die Online Arbeitsumgebung?

Hatte ich auch schon beschrieben... das gleiche.... MIME

Zitat von: stoeps am 18.05.14 - 20:03:32

Warum befürchtet ihr Performance Einbussen beim RTF Format? Wegen der Konvertierung am Server?

Jupp, massiv sogar. Wir reden hier von einer recht hohen Hausnummer an Nutzern im 6-stelligen Bereich, verteilt auf ca. 66 Dominas, wovon immer 2 eine süße kleine 'Cluster-Ehe' eingegangen sind

Sorry, das ich erst jetzt antwortete, aber ich habe es fast aufgegeben, weil ich der Meinung war, das niemand wirklich versteht, worum es mir eigentlich geht. Zuviele Belehrungen und Informationen über X.509 und Co., die mich nicht wirklich weiter bringen

Gruß

Heiggo