SMIME Verschlüsselung von Notes-Mails mit Windows CA

[mastertom]

Hallo zusammen,

ich beschäftige mich mit folgendem Problem:

Notes-Mails, die mit Notes verschlüsselt sind, können außerhalb der Notes-Welt vom Besitzer nicht gelesen werden - soweit Sinn der Übung.

Nun arbeiten Benutzer aber immer öfter auch mit anderen Lösung, Kopieren Ihre Mails in SharePoint, exportieren diese oder sie werden von Notes nach Exchange migriert.

Gibt es eine Möglichkeit, Mails einer Mailbox mit der Windows-CA zu verschlüsseln?

Annahmen:

- Jeder User hat sein Windows-CA Zertifikat auf dem Rechner
- Mails sind bereits in der Inbox, sollen nun mit dem eigenen Public Key der MS-CA verschlüsselt werden

Habt Ihr eine Idee, wie ein solches Vorhaben umgesetzt werden könnte?

Aufruf einer API zur Verschlüsselung?
Kann überhaupt ein User eigene Dateien / den Mail-Inhalt mit dem eigenen SMime-Key verschlüsseln?

Ich bin gespannt, wer hier schon Erfahrungen sammeln konnte und freue mich auf ein spannendes Test-Projekt.

Viele Grüße

Tom

[m3]

Auslesen einer Mailbox und der darin befindlichen Dokumente ist eine triviale Aufgabe, die in C++, C#, Java, LotusScript, VB, ... gelöst werden kann. Anleitungen liefert das Internet zu Hauf.
Die so ausgelesenen Daten mit Hilfe eines Windows Crypto API calls zu verschlüsseln ist für einen Programmierer dann nur mehr eine Fingerübung.
 
Die Verschlüsselung einer exportierten Mail in Kontext einer Ablage in Sharpoint, ... erschliesst sich mir nicht ganz. Hier stoße ich auf ähnliche Probleme wie bei der verschlüsselten Kommunikation via Mailingliste. Für eine public/private key Verschlüsselung a la RSA müsste ich den Inhalt für jeden Empfänger/Leser seperat verschlüsseln - ein Aufand der sich in den seltensten Fällen lohnt.

- Mails sind bereits in der Inbox, sollen nun mit dem eigenen Public Key der MS-CA verschlüsselt werden

Eingehende Mails können mit dem Public Key des Empfängers verschlüsselt werden, wenn in dessen Personendokument das Feld "When receiving unencrypted mail, encrypt before storing in your mail file" gesetzt ist.

Before an unencrypted e-mail message is delivered to a mail (or mail-in) database, the Domino router checks whether the message should be encrypted to the user's public key. If it is to be encrypted, the type of encryption applied depends on the format of the message's body content. If the format is Notes rich text, conventional Notes encryption is performed. By contrast, if the format is MIME and an X.509 certificate for the recipient is available, trusted (cross-certified), and unexpired, S/MIME encryption is performed. However, if in the MIME format an appropriate X.509 certificate is unavailable (not present, untrusted, or expired), conventional Notes encryption is performed while still maintaining the MIME format of the message (that is, the message is not converted to Notes rich text).
Security Considerations in Notes and Domino 7: Making Great Security Easier to Implement

Du kannst X.509 Zertifikate in das ID File importieren und nach extern gehende Mails damit verschlüsseln.
Die sind dann gemäß S/MIME RFC 2315 "PKCS #7: Cryptographic Message Syntax Version 1.5" verschlüsselt und können von jedem standardkonformen MUA entschlüsselt werden.
Gesendete Mails werden dann auch verschlüsselt in der MailDB abgelegt.

Wenn Du das Dokument exportieren und für einen oder mehrere Personen mittels RSA verschlüsseln willst, brauchst Du die Public Keys der EMPFÄNGER, nicht des Absenders (siehe oben)

Für das Verschlüsseln von Dokumenten mittels "shared key" bietet Notes bereits eine Funktion: Encrypting documents using secret keys und auch AES kann hier zum Einsatz kommen.

Viele Möglichkeiten, viele Varianten. Beschreibe mal genauer, ev. anhand mehrere Use-Cases, was Du tatsächlich erreichen willst, dann bekommst Du sicher noch bessere Antworten.

Siehe auch:

[mastertom]

Vielen Dank für die Antwort.

Dann werde ich mit einem Usecase ins Detail gehen.

Mailmigration
- User besitzt Notes-Verschlüsselte Mails in seiner Mailbox
- Mails sollen verschlüsselt in Zielumgebung (Exchange) abgelegt werden

ein Ansatz wäre:
- Entschlüsseln mit Notes-Mitteln
- Verschlüsseln innerhalb Notes mit SMIME-Verschlüsselung (mit entsprechendem Public Key des Empfängers)
- Migration

Als Ergebnis könnte man somit ggf. ermöglichen, dass die Notes-Mails nach der Migration wieder verschlüsselt und NUR für den Empfänger lesbar sind.

Unter Outlook ist ein solcher Vorgang nicht umsetzbar, Notes bietet hier sicher das größere Potential

Bin gespannt, ob es hier Ansätze gibt...

Beste Ostergrüße

Tom

[Hartie]

Wir standen bei der Notes->Exchange Migration vor einer ähnlichen Herausforderung.

Da es in Exchange keine auf der Hand liegende Möglichkeit zur Verschlüsselung gibt (wir haben zumindest keine gefunden, die auch im Office365-Umfeld leicht umsetzbar war), haben wir die verschlüsselten Mails nur als Stub migriert und in Notes belassen.

Da außerdem der Enduser die Entschlüsselung mit seinem privaten Key in Notes vorzunehmen hat, macht das bei einigen tausend User keinen Spaß mehr.

Gruß Hartie

[mastertom]

Hi zusammen,

die Frage ist jetzt, wie kann ich die mit Notes verschlüsselten Mails nach der Entschlüsselung in der eigenen Mailbox mit SMIME verschlüsseln. Hier habe ich noch nicht den passenden Ansatz gefunden!

Wie kann ich in Notes auf Funktionen zurückgreifen, die mir Mails in der eigenen Mailbox in SMIME verschlüsseln?