S/MIME 4.0 Algorithmus

[metin]

NoSpamProxy unterstützt ja bereits S/MIME 4.0 (oder zumindest weitestgehend?) und dazu hätte ich eine Frage:

In S/MIME 3.2 war ja AES256-CBC empfohlen (SHOULD support), während in S/MIME 4.0 AES256-GCM verwendet werden soll.

Wie kann man hier die Abwärtskompatibilität mit E-Mail-Clients sicherstellen? Also wenn ein Client nur S/MIME 3.2 unterstützt, dann kann er doch möglicherweise mit AES256-GCM gar nicht umgehen? Oder verstehe ich hier etwas falsch? Wie handhabt das NoSpamProxy?

 

[StefanCink]

Hallo,

in diesem Fall halten wir uns an die RFC. AES GCM wird nur dann verwendet, wenn die Gegenseite dies im Rahmen der sogenannten S/MIME Capabilities signalisiert. Das heißt, in jeder eingehenden E-Mail mit S/MIME Signatur, steckt die Information, welche Algorithmen unterstützt werden. Diese merken wir uns. Wenn wir vom Kommunikationspartner noch nichts wissen, nehmen wir immer AES CBC.

Gruß Stefan Cink

 

[metin]

Das klingt vernünftig, entspricht dann ja aber streng genommen nicht S/MIME 4.0, weil es dort AES256-CBC nicht mehr gibt.

Meiner Meinung nach ist dann ein Fehler im RFC.

 

[StefanCink]

Wenn der Absender S/MIME4 verwendet, wissen wir das ja anhand der S/MIME Capabilites und merken uns das. 
Da wir außerhalb der NoSpamProxy-zu-NoSpamProxy Kommunikation bisher noch keine S/MIME4 basierten Nachrichten gesehen haben, können wir das Standardverhalten auch noch nicht ändern. 
Mit freundlichen Grüßen
Stefan Cink