Das Notes Forum

Lotus Notes / Domino Sonstiges => Companion Products => Thema gestartet von: rambrand am 26.05.17 - 10:35:52

Titel: iQ Crypt GnuPG
Beitrag von: rambrand am 26.05.17 - 10:35:52

Hallo,
ich quäle mich grad durch das Crypt-Modul.
Aber ich bekomme die GnuPG Umgebung nicht richtig zum Laufen. In der Administrator-Anleitung steht dazu leider nichts, auch im Whitepaper.
Hat jemand einen Leitfaden, wie ich GnuPG konfigurieren und den Schlüssel erstellen muss?
Ziel ist es, dass alle Mails an die Mailempfänger auf dem Domino mit einem öffentlichen Schlüssel verschlüsselt werden sollen.

Gruß
Markus

Titel: Re: iQ Crypt GnuPG
Beitrag von: hallo.dirk am 26.05.17 - 12:45:42

Also ich habe noch eine recht alte aber funktionieredne Gnupg Umgebung am laufen. 8)

Aber bevor wir tiefer einsteigen ist mir noch nicht klar was du machen möchstes?

Wir sprechen von Mails die das Unternehmen verlassen oder auch von Internen Mails?

Wie verwaltest du denn deine Schlüssel? Wo liegen die Schlüsseldateien (pysikalisch)?

Titel: Re: iQ Crypt GnuPG
Beitrag von: rambrand am 26.05.17 - 13:35:50

Hi Dirk,
ich hab es inzwischen fast hinbekommen.
Mails zu Adressen deren public keys schon eingesammelt sind, werden nun damit verschlüsselt.

Ziel war, alle Mails die rausgehen mit einem für das Unternehmen generell gültigen pubkey zu versehen, damit von extern verschlüsselt werden kann.

Problem war erstmal die Anlage der Schlüsselbunde, GnuPG legte die im RoamingAppData ab. Aber sobald der erste Crypt Job lief, wurden auch die Schlüsselbund-Dateien im GnuPG-HomeDir angelegt. Ich hatte aber erst nicht gemerkt, dass das die falschen waren, weswegen kein Secret Key zum Signieren der importierten Public Keys, etc. da war.

Ich hab mich zudem von der Anleitung von Group etwas verleiten lassen, dass es wohl einfach möglich sei einen Public Key für das Unternehmen zu erstellen.
Aber wenn ich mit GnuPG ein Schlüsselpaar erstelle, will er ja eine Mailadresse, die auch im Public Key verschlüsselt steckt.
Also muss ich für jeden Mailnutzer im Unternehmen ein Schlüsselpaar erstellen.

Ich muss nur noch überlegen, wie ich die korrekten Public Keys der Nutzer in die Signatur bekomme.

EDIT: Und man bekommt die Einrichtung der Schlüsselpaare noch eleganter hin, wenn man die Umgebungsvariable für das GnuPG Homedir umbiegt und Kleopatra verwendet. So langsam komme ich dahinter :-)
Was die public keys angeht, da werde ich wohl was stricken, ggfs. über eine kleine Anpassung im Personendokument wo ich die hinterlege. Eventuell kann ich auch automatisiert mit einem Agenten die Schlüsselpaare aus dem Names generieren lassen.

Bye
Markus

Titel: Re: iQ Crypt GnuPG
Beitrag von: hallo.dirk am 29.05.17 - 09:01:28

Nun nur noch einmal eine Frage zum Verständnis: Du versendest S/Mime oder "PGP" verschlüsselte Mails?

Titel: Re: iQ Crypt GnuPG
Beitrag von: rambrand am 29.05.17 - 11:49:15

Ich mach erstmal nur PGP.

Bye
Markus

Titel: Re: iQ Crypt GnuPG
Beitrag von: hallo.dirk am 29.05.17 - 12:09:32

Wow 8)

Aber da dürfte es doch mir einem Zentralen Key keine Probleme geben, ja der steht da drinnen, aber das gibt auf Zielesystemen Probleme?
Hatte ich bisher noch nie, benutze immer schon nur einen Cooperate Key, allerdings nur für 50 User und nur für betimmte Empfänger.

Habe seit einem Monat das Crypt Modul mit S/MIME am laufen.
Hier muss der Absender sein Eigenes Zertifikat haben. In Verbindung mit dem Keymanager und einer ofiziellen Cert die Klasse 2 Zertifikate ausstellt bietet das eine recht einfache Handhabung...

Titel: Re: iQ Crypt GnuPG
Beitrag von: rambrand am 30.05.17 - 10:10:03

Ich glaube wir missverstehen uns :-)

Das Verschlüsseln von Mails an bestimmte zugelassene Mailempfänger funktioniert. Ich hatte gedacht, dass der umgekehrte Weg mit einem Unternehmensschlüssel gehen sollte. Aber da der Public Key eine Mailadresse beinhaltet, kann ich den nicht an die Mails anhängen um verschlüsselte Mails rein zu senden.

Ich hab also einen Unternehmensschlüssel, der nur dafür dient, die gesammelten Public Keys zu signieren, bzw. auf den Schlüsselring zu zu greifen.

Für die internen Benutzer, die verschlüsselte Mails erhalten sollen, lege ich jeweils ein separates Schlüsselpaar an, lege diese mit in die Schlüsselbunde.

Der Umstand ist nun, dass ich halt für jeden internen Benutzer, der einen eigenen Public Key erhalten soll, das Schlüsselpaar generieren muss.

Wenn es einen anderen Weg gibt, würde der mich interessieren.

Gruß
Markus

Titel: Re: iQ Crypt GnuPG
Beitrag von: hallo.dirk am 30.05.17 - 11:25:31

Zitat

Ich hatte gedacht, dass der umgekehrte Weg mit einem Unternehmensschlüssel gehen sollte. Aber da der Public Key eine Mailadresse beinhaltet, kann ich den nicht an die Mails anhängen um verschlüsselte Mails rein zu senden.

Also ich habe nur einen Unternehmenschlüssel, allerdings gebe ich den nur auf Zuruf aus.

Geht es dir nur um das Anhängen des Schlüssels an Mails oder machst du da auch noch etwas mit signieren?


Edit:
Eingehend, beim entschlüsseln wird der Private Key über die eMail Adresse identifiziert, allerdings hat das nichts mit dem eigentlichen Mailverkehr zu tun.

Es gibt keinen Zusammenhang zwischen Empfänger e-Mail und im Key hinterlegter Adresse.
Zumindest kenne ich keinen...