Zugriff auf verschlüsselte Doks - Private Key verteilen?

[daija]

Hallo,

wenn die Option im Personendok "When receiving unencrypted mail, encrypt before storing in your mailfile" auf "Ja" gesetzt ist, kann ich die Dokumente nur noch lesen, wenn ich Zugriff auf den private Key habe. Dieser ist ja ausschließlich im ID-File gespeichert.
Was muss ich tun, damit auch ein anderer User, der Zugriff auf mein Mail-File hat, diese verschlüsselten Dokumente lesen kann?
Kann ich meinen private Key aus der Notes ID exportieren und dann einem User zum Import geben?

[klaussal]

Aus der Hilfe:

Ihr privater Schlüssel wird jedoch geheimgehalten. Auf Ihren öffentlichen Schlüssel kann zugegriffen werden, auf Ihren privaten Schlüssel jedoch nicht.

Danach würde ich sagen : nein.

[daija]

soweit die Theorie... klar.

die Notes Zertifikate basieren aber doch auf dem X.509 Standard. Ich habe also einen Schlüsselbund mit public und private Keys.
Kann ich keine weiteren Keys aufnehmen?

[tschroeder]

Hi,

du kannst im 7er Client unter File -> Security -> User Security -> Your Identity -> Your Certificates -> Get Certificates ... ein anderes ID-File importieren

Aber: keine Ahnung was das für Auswirkungen hat. Das solltest du bevor du es auf Realuser anwendest erstmal mit 2 Dummy Accounts ausprobieren !!!!!!!!!!!!!

VG Thorsten

[daija]

Ja, die Funktion ist mir bekannt. Funktioniert aber nur mit public Key. I.d.R. ist in einem ID File nur der Private Key enthalten.
Ich hatte auch gehofft, das wäre es gewesen 

[daija]

Ich habe es mal mit Internet-Zertifikaten probiert. Damit klappt es
Leider kann ich dem Domino System nicht beibringen, dass er eingehende Mail immer mit dem public Key des Internet-Zertifikats verschlüsselt. Das macht es nur, wenn die Mail über das Internet bzw. SMTP zugestellt wird. Bei Notes-Routing bzw. bei Verwendung der Notes-Adresse/Notation, verwendet Domino den public Key des Notes Zertifikates. Tja, 
Also, falls noch jemand eine Idee hat, wie man den private Notes Key aus der ID-Datei exportieren kann, bitte melden 

[jtuemmer]

Bei der Verschlüsselung spielen Public Key, Private Key und das zugehörige Passwort zum Private Key immer zusammen. Sie sind immer nur in Kombination verwendbar. Das, was Notes seit Beginn der Notes Entwicklung hier nutzt, wird allgemein als Public Key Infrastructure (PKI) bezeichnet. Der Einsatz einer PKI (http://www.wikipedia.de/wiki/Pki) dient der Sicherheit der gespeicherten und übertragenen Informationen.

Während der Public Key "allgemein" verfügbar ist (z. B. in einem Directory), sind Private Key und Passwort geschützt. Und deswegen heisst der Private Key so, weil er privat ist.

In dem von Dir beschriebenen Szenario werden die eingehende, bis dahin nicht verschlüsselten e-mails mit dem Public Key des Empfängers verschlüsselt. Diese können dann nur noch mit dem zugehörigen Private Key wieder entschlüsselt werden. Und für den Zugriff auf den Private Key ist das entsprechende Passwort erforderlich. Es kommt also weniger darauf an, wie der Benutzer Zugriff auf den Private Key erhält, sondern darauf, dass er Zugriff darauf hat und das Passwort kennt. Du könntest auch ganz einfach das komplette ID-File und das zugehörige Passwort weitergeben. Das wäre sicherlich der einfachste Weg. Der Benutzer müsste dann beim Zugriff auf die Maildatenbank nur das ID-File wechseln (siehe Notes Menü "File->Security->Switch ID...") und könnte Die Maildatenbank öffnen.

Aber damit - egal auf welche Art und Weise du das umsetzt - kompromitierst Du die Notes Sicherheitsmechanismen. Das würde dem einen oder anderen sicher nicht gefallen. Wenn Ihr verschlüsselt, dann hat das sicher seinen Grund und sollte nicht durch solche Vorgehensweisen ad absurdum geführt werden.

Ich denke, Du solltest die Anforderung mal weniger von den technischen Lösungsmöglichkeiten her, sondern von der eigentlichen Aufgabenstellung aus fachlicher Sicht betrachten. Warum brauchst Du das überhaupt? Was soll erreicht werden? Geht es um eine Stellvertreterregelung?

Jochen