Notes-/SMime-Verschlüsselung / ID-Dateien

grunz · 5. Juli 2007

Hallo zusammen,

wir haben vor einiger Zeit damit begonnen in unserem Unternehmen intern verschickte Emails auf Notes-Basis zu verschlüsseln. Es gibt einen CA basierten Notes-Certifier und zudem auch noch einen Internet-Certifier für SMIME-Zertifikate, falls mal jemand etwas verschlüsseltes an Externe versenden möchte.
Wenn Mitarbeiter das Unternehmen verlassen gibt es immer wieder die Anfrage, ob man den Nachfolgern die Mail-Datenbanken zur Verfügung stellen kann, was aber ja aufgrund der Verschlüsselung etwas problematisch ist.
Auf der Webseite von IBM habe ich ein Skript gefunden, welches als Agent ausgeführt verschlüsselte Nachrichten in einer Mail-DB entschlüsseln soll. Leider läuft das Skript nur in den seltensten Fällen fehlerfrei durch und ist selbst dann vom Ergebnis her leider auch nicht das gelbe vom Ei - es bleiben nämlich auch bei einem "erfolgreichem" Durchlauf immer wieder sehr viele Nachrichten verschlüsselt in der DB zurück. Meine Versuche das Skript entsprechend anzupassen waren leider nur bedingt erfolgreich.
Der einfachere Weg wäre meiner Meinung nach, wenn man irgendwie die Notes-ID des ausgeschiedenen Mitarbeiters mit der Notes-ID des Nachfolgers/Vertreters verschmelzen könnte, bzw. die Notes-Keys exportieren und später woanders importieren könnte.
Meine Versuche dies über die Bordmittel unter File -> Security -> User Security -> Your Identity -> Your Certificates usw. zu bewerkstelligen waren leider nicht von Erfolg gekrönt. Im Glauben, dass dies die korrekte Methode für diese Aufgabe sei, habe ich es mit der Option "Import (Merge) Notes-Certificates" versucht. Das scheitert aber an der folgenden Meldung:
"The Public Key cannot be accepted since there is no matching Private Key found in the ID file."
Wenn ich die Notes Hilfe zu dem Punkt richtig interpretiere, würde man über diesen Weg wohl regulär nur erneuerte Zertifikate zur eigenen Notes-ID hinzufügen nachdem die eigenen abgelaufen sind, o.ä.
Erfolgreicher war ich zumindest bei den Internet-Zertifikaten die man zunächst als P12-Datei exportieren und über "Import Internet Certificate" mitsamt der passenden Keys in eine andere ID-Datei importieren kann.
Wie kann man aber nun die Notes-Private-Keys bzw. Notes Zertifikate aus eines ID exportieren und in eine andere importieren? Das muss doch auch irgendwie möglich sein!?

Besten Dank im Voraus für entsprechende Hinweise!
Patrick

taurec · 5. Juli 2007

Nein ist es nicht. Ein Notes zertifikat ist immer an den jeweiligen Benutzer gebunden.

Wo stösst denn dein Script auf einen fehler. Ich habe auch schon ein bei der IBM erhältliches Script auf einige Mailfiles losgelassen und da wurden alle Mails problemlos entschlüsselt. Vorraussetzung war natürlich, daß dias Entschlüsselungsscript von dem User ausgeführt wurde, für den die Mails verschlüsselt wurden.

grunz · 5. Juli 2007

Ich habe es mit den hier beschriebenen Verfahren versucht:

http://www-1.ibm.com/support/d…ss?rs=899&uid=swg21089495

und

http://www-1.ibm.com/support/d….wss?rs=0&uid=swg21110567

Zudem findet sich hier noch ein etwas "verfeinertes" Skript, was wohl auf einem der Ibm-Artikel basiert:

http://www-10.lotus.com/ldd/nd…6ed6005ed984?OpenDocument

Ich scheitere jedoch auch an der gleichen Stelle wie "Neal Howard", der eine Antwort zu dem Original-Posting schrieb:

- - - -

"An error has occured"

Error: 13 - Type mismatch

Line: 68

- - - -

grunz · 5. Juli 2007

bei der variante mit dem @command ToolsRefreshSelectedDocs kommt es übrigens leider immer wieder dazu, dass irgendwelche dokumente fehler verursachen, und der lauf des agents daraufhin abgebrochen wird. man kann dann zwar im statusfenster sehen, welche note-id betroffen ist, und das betreffende dokument ggf. mit ytria scanez suchen und löschen, aber das ist wohl bei 5000 dokumenten ziemlich bescheuert, wenn das bei jedem zwanzigstens oder so vorkommt...

taurec · 5. Juli 2007

Also das Script hatte ich auch verwendet und das ist ab und zu mal auf einen Fehler gelaufen. Das waren aber meistens Dokumente die sowieso nicht verschlüsselt waren oder bei Mails die selbst schon korrupt waren.
Ich hatte da einfach noch ergänzt, daß er die UNIDs bei denen er auf fehler läuft mitprotokolliert und diese dann am Schluss wohin wegspeichert

grunz · 6. Juli 2007

meinem gefühl nach funktioniert nur das verfahren mit dem @command halbwegs zuverlässig was die entschlüsselung anbelangt. mein problem ist nur, dass das der damit erstellte agent trotz vorhergehendem datenbankfixup bei allen datenbanken nach kurzer zeit wegen irgendwelcher fehler in einzelnen dokumenten aussteigt und nur kurz im statusfenster die jeweilige note-id dazu ausgibt. kann man da auf die schnelle einen errorhandler einbauen?

taurec · 6. Juli 2007

Beim @command nicht wirklich. Das geht nur vernünftig beim Script.

Und wie gesagt auf Basis dieses Scriptes haben wir schon einige Maildatenbanken entschlüsselt.

grunz · 6. Juli 2007

das hab ich schon befürchtet
könntest du denn deine modifizierte fassung des skripts mal eben hier posten? dann würde ich dem verfahren mit dem lotus script nämlich gleich nochmal eine chance geben, obwohl ich da nach meinen erfahrungen mit den unterschiedlichen skript eher sehr skeptisch bin.

taurec · 6. Juli 2007

Das sah so aus.

Hab ich allerdings schon ne Weile nicht mehr verwendet also bitte noch testen

Code

Sub Initialize
'###################################################################################
'Purpose:
'Decrypt emails
'---------------------------------------------------------------------------------------------------------
'Usage:
'Create a Lotus Script agent - "All documents in database" and copy this code to "Initialize".
'*IMPORTANT*: Run this agent with the same public key (ID-file) that was used to encrypt the documents.
'Otherwise this will not work!
'---------------------------------------------------------------------------------------------------------
'Version Date Programmer
'1.10 04/28/2004 Matthias TMC
'###################################################################################

	On Error Goto ErrorHandler
	Dim session As New Notessession
	Dim db As Notesdatabase
	Dim dc As Notesdocumentcollection
	Dim dcEncrypted As Notesdocumentcollection
	Dim item As NotesItem
	Dim doc As notesdocument
	Dim iCounter As Integer
	Dim iAllCount As Integer
	Set db = session.Currentdatabase
	Set dc = db.allDocuments
	Dim docError As NotesDocument
	Dim itmData As NotesItem

'----> We need an empty doccollection
	Set dcEncrypted= db.GetDocumentByUnid(db.Views(0).UniversalID).Responses
'<----

'------> Search for encrypted docs and put them in the 2nd doc collection
	iCounter = 0
	iAllCount = dc.Count
	Set doc = dc.Getfirstdocument
	While Not doc Is Nothing
'---> See progress
		iCounter = iCounter +1
		Print iCounter & "of " iAllCount "docs processed."
'<---
		If doc.IsEncrypted And (doc.IsDeleted = False) Then
			Call dcEncrypted.AddDocument(doc)
		End If
		Set doc = dc.Getnextdocument(doc)
	Wend
'<-------

'-----> Message....
	If dcEncrypted.Count = 0 Then
		Msgbox "No documents in this database are encrypted.", 64, db.Title
		Exit Sub
	Else
		If Not Messagebox (dcEncrypted.Count & " documents in this database are encrypted." &Chr(10) &Chr(10)_
		& "Do you really want to decrypt these documents? ",1 + 32,db.Title) = 1 Then Exit Sub
	End If
'<-------

'--------> Now we remove the encryption stuff
	iCounter = 0
	iAllCount = dcEncrypted.Count
	Set doc = dcEncrypted.GetFirstDocument
	While Not doc Is Nothing
		On Error Goto SaveDoc

'See progress
		iCounter = iCounter +1
		Print iCounter & "of " iAllCount "docs processed."

'Decrypt.....
		Forall i In doc.Items
			If i.IsEncrypted Then
				i.IsEncrypted = False
			End If
		End Forall

'Create a dummy-item for encryption only (so that 'Call doc.Encrypt' does work)
		Dim dummyitem As NotesItem
		Set dummyitem = New NotesItem ( doc, "DummyItem", "" )
		dummyitem.IsEncrypted = True

'Let's encrypt the document and save it. But only our dummy-icon wil be encrypted.
		Call doc.Encrypt
		Call doc.Save(False, False)

'Now let's remove the encryption-items and save once more
		While (doc.HasItem("Encrypt"))
			Set item = doc.GetFirstItem("Encrypt")
			Call item.Remove
		Wend
		While (doc.HasItem("$Seal"))
			Set item = doc.GetFirstItem("$Seal")
			Call item.Remove
		Wend
		Call doc.Save(False, False)

'Now we clean up and remove the dummy item
		While (doc.HasItem("dummyitem"))
			Set item = doc.GetFirstItem("dummyitem")
			Call item.Remove
		Wend
'And once more a save.....
		Call doc.Save(False, False)

		Set doc = dcEncrypted.GetNextDocument(doc)

	Wend
'<-----------
	On Error Goto ErrorHandler

	Msgbox "The" & dcEncrypted.Count & " documents are decrypted now!", 64, db.Title

SaveDoc:
	If docError Is Nothing Then
		Set docError = db.CreateDocument
		Set itmData = New NotesItem(docError, "Body", "")
		docError.Subject = "Error in decryption" & session.UserName
		docError.SendTo = "Empfaenger@test.de"
		docError.Form = "Memo"
	End If
	If Not doc Is Nothing Then
		Call itmData.AppendToTextList(doc.UniversalID)
	End If
	Resume Next
ExitScript:
	If Not docError Is Nothing Then
		Call docError.Send(False)
	End If
	Exit Sub

ErrorHandler:
	Msgbox "Error: " & Err & " - " & Error$ & Chr(10) & Chr(10)_
	& "Line: " & Erl & Chr(10)_
	,48,"An error occured"
	Resume ExitScript

End Sub

Alles anzeigen

Bei der Zuweisung zum SendTo Feld musst du noch die gewünschte Empfängeradresse eintragen

grunz · 6. Juli 2007

super - vielen dank schon mal für die prompte reaktion! werd's gleich direkt mal ausprobieren und feedback geben!

Teilen