eMail Verschlüsselung / SMIME

  • Hallo zusammen,


    ich beschäftige mich aktuell mit dem Problem der eMail Signierung (SMIME) sowie der Verschlüsselung.

    Ich habe ein SMIME Zertifikat von GlobalSign im David Client hinterlegt, die eMail Signatur funktionier auch einwandfrei.

    Jedoch funktionieren verschlüsselte eMails, welche über den David Client verschickt werden, nicht...


    Ich vermute, es liegt an den mega veralteten Verschlüsselungsalgorithmen... der Client bietet ja nichtmal SHA2 oder AES an.


    ii6cmjes.png


    Verschicke ich eine eMail mit Outlook (Konto per ActiveSync am gleichen PC mit dem David Server verbunden) funktioniert alles wunderbar...


    Weiß jemand ob man da was anpassen muss damit die Verschlüsselung läuft? Wie Regelt ihr das Problem?


    Tobit sollte da echt mal so langsam nachziehen...wenn ich hier SHA1 und 3DES lese wird mir schlecht...und die wollen die DSGvO erfüllen???! :/

  • Was genau meinst du mit funktioniert nicht?


    Ich nutze das seit Jahren, ohne Probleme, per Client und iOS Mail App...


    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

  • Was genau meinst du mit funktioniert nicht?


    Ich nutze das seit Jahren, ohne Probleme, per Client und iOS Mail App...


    Das Gegenüber kann die eMails nicht entschlüsseln, die mit dem DavidClient verschlüsselt verschickt wurden.

    Verschicke ich an den gleichen Empfänger über Outlook (gleiches Konto & Zertifikat) kann er sie erfolgreich entschlüsseln. Also muss es am David Client liegen. Und ich vermute das liegt an den veralteten Verschlüsselungsmethoden...Outlook kann ja wenigstens schon SHA256 und AES. David nicht.


    Die Signatur klappt, auch wenn dort nur SHA1 angeboten wird...

  • Also ich denke hier gibt es Verwirrung wie das ganze Funktioniert.


    Damit man einem Empfänger eine per S/MIME Verschlüsselte eMail senden kann

    muss der Empfänger selbst eine S/MIME Signatur haben, und diese auch über

    seine Digital Signierte eMail bereitstellen.


    Man öffnet also die eMail des Versenders:



    und klickt auf Digital Signiert, und installiert das Zertifikat.


    Jetzt ist das Zertifikat des Versenders im Speicher, und

    man kann Ihm per S/MIME Verschlüsselte eMails senden.


    Kurz zusammen gefasst:


    S/MIME funktioniert indem die eMail mit dem Zertifikat

    des Empfängers verschlüsselt wird. Den er hat den Privat

    Key für das Zertifikat und kann es damit entschlüsseln.


    So wie beschrieben wurde das Prinzip der S/MIME Verschlüsselung

    nicht verstanden. Wenn man die eMail für den Empfänger mit

    einem eigenen Zertifikat verschlüsselt, kann das der Empfänger

    nicht öffnen, da er den Private Key nicht hat.


    Das ganze nutze ich bei einigen Kunden seit Jahren im David

    Client sowie unter iOS.


    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

  • Ich habe das Zertifikat des Empfängers natürlich installiert. Sonst kommt beim Versenden ja die Abfrage in der der David Client das Zertifikat für die Verschlüsselung ausgewählt haben möchte...


    Wie gesagt, mit Outlook als Client gibt es keine Probleme, aber David scheint da an ein paar Stellen Probleme zu haben...

    Manche Mails gehen halt, manche nicht.


    Ich denke ich werde dem Kunden mal ein neues Zertifikat geben zum testen...

  • Ich habe das Zertifikat des Empfängers natürlich installiert. Sonst kommt beim Versenden ja die Abfrage in der der David Client das Zertifikat für die Verschlüsselung ausgewählt haben möchte...

    Das war ja die Frage ;)


    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

  • Tobit sollte da echt mal so langsam nachziehen...wenn ich hier SHA1 und 3DES lese wird mir schlecht...und die wollen die DSGvO erfüllen???!

    Zum erfüllen reicht das 8o


    Aber ich hab das bei Tobit mal anregt das man mal so langsam aktuelle Hash-/Verschlüsselungs- Algorithmen

    verwenden sollte. Aber wie immer wir das als Anregung aufgenommen....


    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)

  • Mein bitten wurden erhört, tobit hat david im Bereich S/MIME und TLS aktualisiert:


    Im Rollout 288 wurden Zahlreiche Anpassungen vorgenommen, unter anderem

    im Client:


    Zusätzlicher Hash-Algorithmus für Signatur-Zertifikate

    In den Einstellungen des david® Client kann unter dem Punkt „Sicherheit“ ausgewählt werden, mit welchem Hash-Algorithmus die Prüfsumme (Hash-Wert) für die digitale Signatur zu versendender eMails gebildet werden soll. Diese Auswahl wurde um den Hash-Algorithmus SHA256 erweitert.


    Anpassungen für optimierten Einsatz der S/MIME-Verschlüsselung

    Der Versand S/MIME verschlüsselter eMails wurde so optimiert, dass trotz der systembedingten Schwächen von S/MIME die Datensicherheit uneingeschränkt erhalten bleibt.

    Sowie der Webbox:


    • Verschlüsselungs-Zertifikat für sichere Datenübertragung im Internet
      Im david® Administrator kann über den neuen Menüpunkt „System / TLS-Verschlüsselung“ ein Verschlüsselungs-Zertifikat angefordert werden, das für WebBox, PostMan und MailAcess Server verwendet werden kann, und für sichere Datenübertragung im Internet sorgt. In Verbindung mit der WebBox stellt dieses Zertifikat z.B. den korrekten Datenabgleich per Exchange ActiveSync auch für Mobile Geräte sicher, die unter iOS laufen.
    • Aktualisierung der integrierten Verschlüsselungs-Engine
      Die in david® integrierte Verschlüsselungs-Engine davidtls.dll (\windows\syswow64) wurde aktualisiert und unterstützt jetzt OpenSSL-1.1.0f und Forward Secrecy. Im Rating der SSLabs wurde die erreichte Note von 'B' auf 'A' verbessert.





    Bietet seit über zehn Jahren Systemhaus Lösungen für kleine bis mittlere Kunden an.
    Auf meiner Homepage finden Sie alle Zertifizierungen und Partnerschaften ;)