lokale Verschlüsselung von Notes-Anwendungen

[DominoDancing]

Wow, Gehirnverknotung - Folgendes entzieht sich vollkommen dem, was ich zu begreifen im Stande bin. Hoffentlich kann mir einer von Euch weiterhelfen: Im Unternehmen existiert eine Anforderung zur Datenbankverschlüsselung. Daher habe ich zu Testzwecken für eine bestehende Notes-Anwendung eine Replik auf einem Domino-Server erstellt und hierbei die mittlere lokale Verschlüsselung für den Server hinterlegt.

Danach habe ich einem beliebigen Testnutzer Zugriff auf die Anwendung gegeben und diesen getestet (da ich irgendwo gelesen hatte, dass Nichtadministratoren-Nutzer dann ggf. keinen Zugriff mehr auf die Anwendung haben). Hat alles problemlos funktioniert - der Nutzer hatte Zugriff und eine lokale Nutzung der Anwendung war aufgrund der Verschlüsselung nicht mehr möglich. Bis hierhin alles genauso, wie es sein sollte.

Jetzt wollte ich genau diese Anwendung auch auf den produktiven Servern ebenso lokal verschlüsseln. Aber plötzlich habe ich keine Möglichkeit mehr, die mittlere Verschlüsselung auszuwählen (die bis dahin ja sogar Vorgabewert für die Verschlüsselungsstärke war). Es wird hier ausschließlich starke Verschlüsselung angeboten (geringe und mittlere Verschlüsselung sind nicht etwa ausgegraut, sie existieren schlichtweg nicht). Auf keinem Domino-Server!!!??? Auch nicht bei bestehenden lokalen Anwendungen!!!??? Für keine Notes-Anwendung!!!???

Die einzige Möglichkeit, die Verschlüsselungsstärke auszuwählen habe ich jetzt noch beim Erstellen einer neuen Datenbankreplik/ -kopie einer beliebigen Notes-Anwendung auf einem beliebigen Domino-Server.

Am Client kann das nicht liegen, da ich das an drei unterschiedlichen Arbeitsplätzen, sowohl mit dem Standard- als auch mit dem Basic-Client getestet habe: alle mit obigem Ergebnis. Dies trifft auch für alle anderen Administratoren zu.

Hat bitte irgendwer eine Idee, wie das rückgängig gemacht werden kann?! Das wäre super! Ich möchte für bestehende Anwendungen einfach wieder die lokale Verschlüsselungsstärke auswählen können. Vielleicht kann's ja sogar einer erklären?! Ich bin machtlos (IBM)  . Bin für jede Anregung dankbar!

Achso: Aus Verdreiflung (also übermäßiger Verzweiflung  ) habe ich die mit mittlerer Verschlüsselung erstellte Replik der Anwendung wieder gelöscht. Ohne jegliche neue Erkenntnisse.

Umgebung: Domino 9.0.1 FP8, Notes 9.0.1 FP7

Liebe Grüße
René

[Tode]

Ich kann nur sagen: Ist bei uns genauso. Ich habe Server in verschiedenen Domänen mit verschiedenen Fixpack- Ständen getestet: Ich kann überall nur starke Verschlüsselung im Dropdown wählen.

[DominoDancing]

OK, dann ist das "neu". Das macht's zwar nicht logischer, weil bei neuen Repliken/Kopien kann ich das ja weiterhin sehr wohl auswählen und hinterlegen, aber wenn das selbst bei Dir so ist, dann bin ich irgendwie nicht schuld. 

Dann habe ich jetzt also die Möglichkeit, entweder starke Verschlüsselung auszuwählen (aus der Liste mit 'Starke Verschlüsselung'  ) oder eine neue Replik zu erstellen und dabei eine andere Verschlüsselungsstärke tatsächlich auszuwählen (also aus mehr als 1 Auswahlmöglichkeit).

Danke! Schnell, präzise, hilfreich ... wie immer.

Liebe Grüße
René

[eknori]

Ich nehme an, daß es sich um einen BUG handelt.

LOCAL_DB_ENCRYPT_ENABLE=1
LOCAL_DB_ENCRYPT_DEFAULT=2

in der lokalen notes.ini sollte die Verschlüsselung auf DEFAULT medium setzen.
Die Parameter ziehen aber überhaupt nicht mehr.

Da hat wohl jemand an dem Dialog rumgefingert.

Bleibt nur, einen PMR bei IBM aufzumachen und nach dem geänderten Verhalten zu fragen.

[Pfefferminz-T]

Den PMR kann man sich sparen:

The issue was reported in SPR: XPFG74CC6Z and it was determined to be working as designed.
A change was put into place, which only allows Strong Encryption when changing it via the database properties. This was a deliberate security upgrade that was added in 8.0. The "weaker" security options were deemed no longer necessary for security/performance tradeoffs given the speed of modern computers.
             
A workaround would be to set the encryption options when creating the new replica or new database.

Aufgrund der Performance der aktuellen Geräte wurden die anderen Optionen aus Sicherheitsgründen deaktiviert.

[eknori]

ok, dann poste ich noch schnell das Ergebnis meines PMR

Code

SPR # KEMG6TCLZJ / APAR LO25125: "Remove simple and medium database encryption options".
This SPR says: "Database encryption was introduced in R4.1 in 1996. Tradeoffs that made sense at the time no longer make sense in today's world. We should remove the ability to enable Simple or Medium encryption and only support Strong. Simple and Medium should still be supported for backwards compatibility, but we should default to Strong (and not allow a lower level)".
Further it also says: "All three encryption strengths will be displayed in most dialogs until File -> Preferences -> User Preferences -> Replication -> "Encrypt locally using" is changed to "Strong Encryption". After that, "Strong Encryption" becomes the only choice and the User Preferences cannot be changed to a weaker level".

[DominoDancing]

Hallo Ulrich und Thorsten,

wenn das mal keine vollumfängliche Antwort war. Danke Euch! Damit ist dann wirklich alles ge- und erklärt.

@eknori: Ich sage doch, dass das "neu" ist. 1996 in R4.1 war das noch anders.  Da hab' ich mich doch sofort dran erinnert.

Liebe Grüße
René

[Pfefferminz-T]

Ich hatte das auch nicht mehr auf dem Visier, dass das schon mit v8 kam...