Notes-Verschlüsselung & Delegierung des Zugriffs auf's Mailfile

    hallo zusammen,
    bin gerade dabei die möglichen fallstricke bei der einführung einer notes-basierten verschlüsselung innerhalb unseres unternehmens auszuloten. dabei bereitet mir die verschlüsselung in kombination mit der bei uns hin und wieder verwendeten zugriffsdelegierung auf maildatenbanken anderer mitarbeiter (z.b. bei urlaub, krankheit oder nach dem ausscheiden des ma's aus dem unternehmen) einige sorgen/probleme...
    bei der konstellation, dass z.b. benutzer A zugriff auf die mail-db von B erhalten soll, ist es B logischerweise nicht möglich, die von A verschlüsselten emails zu lesen, ohne den zur verschlüsselung verwendeten, privaten schlüssel von A zu kennen/besitzen.


    da dachte ich mir: sollte ja kein größeres problem darstellen - importieren wir eben die benutzer-id von A in jene von B, was über den dialog unter "datei -> sicherheit -> benutzersicherheit -> ihre identität -> ihre zertifikate -> zertifikate abrufen -> notes zertifikate importieren (in id-datei aufnehmen)" durchaus machbar erscheint. der assistent läßt mich dabei auch die id-datei von B öffnen, fragt das entsprechende kennwort der id-datei von B ab, bricht aber dann mit folgender meldung ab:


    "Der öffentliche Schlüssel kann nicht akzeptiert werden, da kein passender öffentlicher Schlüssel in der ID-Datei vorhanden ist."


    was will mir diese meldung bloß sagen?!? habe zwischenzeitlich alles möglich ausprobiert, und konnte zumindest ausschließen, dass es sich um ein problem speziell mit den verwendeten user-id's handelt. habe diverse zusätzliche testuseraccounts samt passender notes-zertifikate erstellt, doch das problem scheint da doch eher globaler natur zu sein....

    über mögliche lösungsansätze oder alternativen würde ich mich sehr freuen!


    viele grüße,
    patrick

    tja, scheint wohl doch ein generelles problem zu sein, wenn man die resonanz auf die frage betrachtet ;)


    gibt's denn überhaupt keine möglichkeit, den geheimen part des notes-schlüssels aus einer benutzer-id zu extrahieren (und ggf. in eine andere aufzunehmen?)? der notes-client scheint die export-richtung ja offensichtlich nicht out-of-the-box zu unterstützen.


    hat vielleicht schon mal jemand die funktion "notes zertifikate importieren (in id-datei aufnehmen)" für irgendetwas sinnvolles verwendet, und wenn ja - wofür?! steht diese funktion etwa auch nur im zusammenhang mit der einfachen erneuerung des zertifikates, die man z.b. nach verlust bzw. kompromittierung des schlüssels durchführt?

    So... dann will ist mal ;)


    1.
    Ist das nur eine Firmenmailin? Oder landen da auch Private email drinn? Oder verbietet ihr das? Wenn ihr das nicht exakt verbietet, muss der ausscheidende MA sein OK für so eine Mailfile delegation nach dem ausscheiden geben ;-).


    2.
    Ich habe mir zur externen Mailverschlüsselung ein Zertifikat (1 Jahr gültig von Verisign) in meine ID aufgenommen mit dieser Funktion.


    3.
    Ich habe das mit der ID noch nie versucht. Deine Idee klingt aber sehr interessant. Beim ausscheiden bei uns gibt der MA wenn er sein OK gibt die ID & PW weiter. Hast du schon Vortschritte ggemacht? Welche Domino Version verwendet ihr.

    zu 1.) nein - mir geht es nicht um sammel-inboxen, sondern um eine normale user-mailbox, in der prinzipiell auch private mails landen könnten. rechtlich gesehen ist das aber prinzipiell kein problem, wenn der abwesende user ohnehin explizit zustimmt, den zugriff auf die datenbank während seiner (i.d.r. urlaubsbedingten) abwesenheit an einen kollegen zu deligieren.


    zu 2.) externe verschlüsselung steht (vor)erst mal nicht zur debatte. möglichkeiten/erfahrungen zur zertifizierung einer selbstsignierten domino-ca durch einen kommerziellen anbieter wie verisign & co. wären für mich aber durchaus auch von großem interesse. nach meiner recherche gibt's da aber offenbar generell nur solche "halben sachen" wie unter http://www.geotrust.com/produc…_certificates/georoot.asp


    zu 3.) das ausscheiden des mitarbeiters wäre an der stelle das geringste problem. da könnte man ja z.b. auch über die programmierung eines agents nachdenken, der die nachrichten des ausgeschiedenen benutzers einmalig entschlüsselt und in dieser form in die mailbox des nachfolgers kopiert, der eine eigene, neue id bekommt.
    mir geht es aber vielmehr um die kurzfristigen vertretungs- bzw. deligierungsmöglichkeiten! wäre halt ziemlich doof, wenn der urlauber das kennwort seiner notes-id an eine vertretung weitergeben müsste, die dann ggf. auch noch zwischen zwei arbeitsumgebungen oder gar zwei rechnern hin und herwechseln müsste... mit der normalen deligierung müsste man eben nur zwischen zwei karteireitern im eigenen notes-client hin und herspringen, was selbstverständlich deutlich angenehmer ist.
    wir verwenden domino 7.0.1FP1 mit Notes 7.0 / 7.0.1. fortschritte habe ich bei dem thema bisher leider noch keine erzielt....