NoSpamProxy Forum

Normale Version: mehrere public keys zu einer e-mail Adresse
Sie sehen gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Hallo,

was passiert eigentlcih wenn ein Empfänger mehrere Public Keys hat?
Ich habe gesehen daß in den message tracking details unter Activities bei der content encryption (S/MIME) der alte UND der neue public key steht.
Es kann doch eigentlich nur mit einem public key verschlüsselt werden? Welcher wird denn jetzt verwendet?

Vielen Dank für Antworten
Hallo Georg,

eine E-Mail wird immer mit mindestens zwei Public Keys (PK) verschlüsselt. Einmal mit dem PK des Empfängers und einmal mit dem des Absenders. Letzteres wird gemacht, damit die E-Mail auch in den gesendeten Objekten für den Absender lesbar ist. Beim Einsatz eines Gateways ist dieser Punkt hinfällig, die mir bekannten Gateways machen das aber dennoch.
Eine E_Mail kann demzufolge immer mit mehreren PKs verschlüsselt werden. Dazu muss man wissen, dass es eigentlich kein rein asymmetrisches Verfahren ist, sondern ein hybrides Verfahren. Der Plaintext wird dabei zunächst symmetrisch verschlüsselt. Dieses Verfahren ist gegenüber dem asymmetrischen Verfahren deutlich schneller. Das für den symmetrischen Verschlüsselungsvorgang verwendete Passwort wird dann mit dem PK des Empfängers und des Absenders verschlüsselt. Wenn mehrere Empfänger in der E-Mail sind, wird der Schlüssel mehrfach mit den PK der weiteren Empfänger verschlüsselt.
Beim Entschlüsseln schaut der Entschlüsselungsapparat nur noch nach, ob ein passender PK zur Verfügung steht und entschlüsselt den symmetrischen Schlüssel, mit dem dann der CipherText wieder in Plaintext verwandelt wird. Ob ein passender PK zur Verfügung steht, wird nicht anhand der E-Mail-Adresse festgemacht, sondern anhand der eindeutigen ID des Schlüssels.

Hoffe etwas Licht ins Dunkel gebracht zu haben. :-)
Gruß Stefan
Hallo Stefan,

Vielen Dank für die Antwort. Auch wenn es draußen schon wieder dunkel ist, wurde es etwas heller.

bei mehreren Empfängern verstehe ich, daß mit mehreren Zertifikaten verschlüsselt wird. Da ging mir ein Licht auf.
Ich hatte irgendwie erwartet, daß bei Vorhanden sein von zwei S/MIME Zertifikaten für denselben Empfänger das neuere genommen wird.

Ein bisschen OffTopic:
Werden denn expired public keys irgendwie automatisch entfernt oder muß das manuell geschehen?

Wenn nein: Ist denn ein PowerShell Modul in Planung um solche Tasks vorzunehmen? Es macht keinen Spaß alle paar Tage mühselig die Zertifikate rauszusuchen. Genauso die Suche nach fehlenden Root Zertifikaten. Da könnten wir so schön automatisieren...

Viele Grüße
Georg
Hallo Georg,

es ist komplett automatisierbar, allerdings nur mit PowerShell derzeit.

Get-NspCertificate -KeyValidity Expired -StoreIds TrustedPeople | remove-nspcertificate
Get-NspCertificate -KeyValidity Expired -StoreIds Intermediate | remove-nspcertificate
Get-NspCertificate -KeyValidity Expired -StoreIds Root | remove-nspcertificate

Damit löschst Du alle abgelaufenen Public Keys, Root und Intermediatezertifikate. Ich empfehle Dir dringend, die private Keys nicht anzufassen und sie liegen zu lassen. Egal ob abgelaufen, oder nicht.

Hope this helps
Stefan
Guten Morgen Stefan,

ahhh, sehr gute Nachrichten !!! Genau sowas suche ich!
Wo finde ich die Doku zu Powershell im Benutzerhandbuch habe ich nichts gefunden und aich in den FAQs nicht.

Viele Grüße
Georg
Für den Moment triffst Du noch einen wunden Punkt, da die Doku nicht fertig ist. Es wird dann unter https://docs.nospamproxy.com verfügbar sein. Bis dahin ist unser Git-Repository unter https://github.com/nospamproxy von Nutzen. :-)
*G*
War schon dran mir die Module anzusehen.
Aber bei manchen Parametern ist das schwierig...
Ich freue mich schon auf die Doku!

Trotzdem vielen Dank!
Wenn es dazu Fragen gibt, dann einfach im Forum "Sonstiges" die Anforderung schildern. Dann erarbeiten wir etwas gemeinsam. Unser PM Jan Jäschke liest hier unter anderem mit, der ein ausgefuxter Scripting-Meister ist. Er hat es regelmäßig geschafft, von mir geschriebene Scripte so umzuschreiben, dass ich sie nicht mehr verstanden habe. Dafür liefen sie dann auch direkt 150x schneller. Das Endergebnis war aber gleich. ;-)

Gruß Stefan