Verschlüsselungsproblem

[JayDee]

Vermutlich ist das folgende ganz normales Verhalten, ich würde nur gern eine zweite Meinung haben ob ich richtig liege bzw. wo der Denkfehler liegt.

Ein zeitgesteuerter Agent in einer Mail-DB (die von Person A) läuft allmorgentlich und sendet eine kleine Textmail an zwei Personen: Person A und Person B. Person A hat ein Sicherheitsbewußtsein und hat daher in den Sicherheitsvorgaben seiner Mail-DB die Option:

"Eingehende unverschlüsselte Mail vor dem Speichern in Maildatei verschlüsseln"

angeschaltet. Person B nicht.

In seinem Notes-Client kann Person A die vom Agenten versendete Mail wunderbar lesen - logisch.
Anders in der Verse/Traveler-App: Verse erkennt, dass die Mail verschlüsselt ist, fragt das Kennwort d. Notes-ID ab, entschlüsselt offenkundig die Mail bzw. versucht es, und zeigt anschließend an: "Diese Mail enthält keinen Text", und zeigt demzufolge auch keinen an.

Person B kann die Mail in Verse ordentlich lesen, klar.

Mir ist klar dass die Verschlüsselung vom Serveragenten aus "irgendwie anders" abläuft als in einer Notes-Client Session mit angemeldetem Nutzer wo die ID direkt im Zugriff des Clients ist. Aber er verschlüsselt ja offenkundig, jedenfalls wird die Mail als "verschlüsselt" deklariert. Und über den ID-Vault hätte der Server ja die Möglichkeit an die ID zu kommen. Allerdings ist der Agent ja von Person A signiert.

Logischer erscheint mir aber dass "konnte Mail nicht verschlüsseln" o.ä. kommen würde und die Mail unverschlüsselt bliebe.

Wo liegt hier der Denkfehler?

[smokyly]

Ich bin mir nicht sicher, ob ich da in die richtige Richtung gehe, aber zum Entschlüsseln braucht die App ja den Schlüssel. Der befindet sich u.a. in der ID.
Ist denn die ID im Mailfile hochgeladen? Im INotes sollte dann das in den Vorgaben zur Sicherheit zu sehen sein:

Ihre Notes-ID, eine von Ihrem Administrator erstellte Datei, ermöglicht Ihnen das Entschlüsseln, Signieren und Verschlüsseln von Dokumenten sowie das Zurückrufen von Nachrichten. Die Notes-ID enthält Ihren Namen, Sicherheitszertifikate und weitere Angaben.
Ihre Maildatei ENTHÄLT eine Notes-ID

Der Traveler kuckt jedenfalls nicht in die Vault.

[JayDee]

Im INotes sollte dann das in den Vorgaben zur Sicherheit zu sehen sein:

Zitat
Ihre Notes-ID, eine von Ihrem Administrator erstellte Datei, ermöglicht Ihnen das Entschlüsseln, Signieren und Verschlüsseln von Dokumenten sowie das Zurückrufen von Nachrichten. Die Notes-ID enthält Ihren Namen, Sicherheitszertifikate und weitere Angaben.
Ihre Maildatei ENTHÄLT eine Notes-ID

Wir setzen iNotes nicht ein, aber rumgespielt habe ich damit sicher schon.
Nachgesehen => ja die ID ist in der Maildatei von Person A enthalten.

[smokyly]

Also eigentlich ist es schon so, wie ich meinte.
https://www.ibm.com/support/knowledgecenter/SSYRPW_9.0.1/android_processing_encrypted_mail.dita

Nur das hier verstehe ich eigentlich nicht...

Anmerkung: Verwenden Sie entweder eine SSL-Verbindung (Secure Sockets Layer) oder eine VPN-Lösung (Virtual Private Network), wenn die Verschlüsselung auf dem IBM Traveler-Server aktiviert ist.

[Pfefferminz-T]

Moin Thomas,

wie in der Dokumentation ausführlich zu lesen   verwendet Notes ein Public/private key-Verfahren.

Public-Key: Im Domino Verzeichnis und in der Notes-ID
Private-Key: Nur in der Notes-ID

Verschlüsseln: Es wird der public-key des Empfängers aus dem Domino Verzeichnis verwendet. Die Notes-ID des Absenders oder Empfängers spielt hier überhaupt keine Rolle.

Entschlüsseln: Zum Entschlüsseln wird der private-key aus der Notes-ID verwendet. Beim Notes Client ist die Notes-ID sowieso in Verwendung, bei iNotes und bei Traveler muss die Notes-ID in der Mail-Datenbank sein (beim Einsatz einer Domino Domäne, also Mailserver und Traveler sind in einer Domino Domäne kann die Notes-ID auch im Vault liegen).

Fehlersuche:
Sende von Deinem Notes-Account eine verschlüsselte Mail an Person A. Kann der die Mail im Traveler öffnen?
Ja -> dann ist hier alles richtig und das Problem liegt am Agent.
Nein -> ID aus Mailfile entfernen und neu hochladen oder über den Vault ziehen lassen.

[JayDee]

Nur das hier verstehe ich eigentlich nicht...
Zitat
Anmerkung: Verwenden Sie entweder eine SSL-Verbindung (Secure Sockets Layer) oder eine VPN-Lösung (Virtual Private Network), wenn die Verschlüsselung auf dem IBM Traveler-Server aktiviert ist.

Ich vermute hier hat der Übersetzungs-fehlerteufel zugeschlagen und es soll heißen: ... auf dem IBM Traveler-Server NICHT aktiviert ist.

[JayDee]

Fehlersuche:
Sende von Deinem Notes-Account eine verschlüsselte Mail an Person A. Kann der die Mail im Traveler öffnen?
Ja -> dann ist hier alles richtig und das Problem liegt am Agent.

Ja das funktioniert problemlos. Es muss auch gar nicht unbedingt eine verschlüsselte gesendete Mail sein, es geht ja um das verschlüsselte *Speichern* der empfangenen Mail beim Empfänger. Ich schau mir dann den Agenten nochmal an, der ist kurz, jedenfalls das Mail-Senden 

Nein -> ID aus Mailfile entfernen und neu hochladen oder über den Vault ziehen lassen.

Mal schauen was das bringt.

Schonmal vielen Dank für euren Input 

[Pfefferminz-T]

Ok, stimmt, aufgrund der aktivierten Option, dass alle eingehenden Mails verschlüsselt werden sollen - trotzdem kommt hier der PublicKey des Empfängers zum Tragen und die Verschlüsselung erfolgt durch den Server.

Wenn Du also eine andere Mail in der Traveler App nach der Eingabe des Kennworts für die NotesID öffnen und lesen kannst, dann ist dieser Bereich in Ordnung (d.h. es bringt Dir keine neuen Erkenntnisse, wenn Du die NotesID aus der Mail-DB entfernst und neu hinzufügst). Dann solltest Du Dir den Agent nochmal ansehen.

[JayDee]

Hier das um sensitive Infos bereinigte Sub zum Mailsenden. Es handelt sich wie gesagt um einen kleinen  Agenten, der 1x täglich zeitgesteuert läuft, zwei Leuten einen ganz kurzen Text schickt  und seit Jahr und Tag seinen Dienst tut.

session ist auf Modul-Ebene deklariert.
iNr wird zur Bildung von <bodytext> (String) benötigt.

Sub SendeMail(iNr As Integer)
   
   Dim docMail As NotesDocument
   
   Set docMail = New NotesDocument(session.CurrentDatabase)
   
   docMail.From      = "<absendertext>"
   docMail.Principal   = docMail.From(0)
   docMail.Form      = "Memo"
   docMail.Subject   = "<betrefftext>" & Today
   docMail.SendTo    = "<personA"
   docMail.CopyTo   = "<personB>"
   docMail.Body      =  "<bodytext>"
   
   Call docMail.Send( False )
   
End Sub

[Pfefferminz-T]

Bin kein Entwickler aber

"<personA"
"<personB>"

?

[JayDee]

Bin kein Entwickler aber

"<personA"
"<personB>"

?

Verschleierung der echten Namen ;-)
hinter <personA fehlt natürlich die schließende Klammer,
In echt stehen dort die korrekten vollständigen Notes-Namen der beiden Mail-Empfänger...