Email-Verschlüsselung

Juergen 2025-04-11 11:58:02 UTC #5

Wunderbar, danke, funtioniert mit einem Gruppenkonto und nachdem der private Schlüssel einmal im Benutzerkonto eingetragen ist, dann auch mit den anderen Gruppenmitglieder.
Etwas unbefriedigend ist die Paßwortabfrage für den privaten Schlüssel - die max 480 min sind nach meinem Dafürhalten nicht sehr Anwenderfreundlich.
Gibt sicherlich einen Grund dafür, da ja egw webweit erreichbar ist, wenn dann aber mehrere Konten verschlüsselt werden und die Kolleg*innen jeden Tag erneut die PW eingeben müssen, schmeißen die bald mit Steinen oder Computermäusen nach mir …
Läßt sich hier noch was machen?
Danke und Gruß
Jürgen

StefanU 2025-04-11 15:31:51 UTC #6

Wenn ich 2FA-Keys raus gebe höre ich auch diverse Flüche. Sicherheit ist aber nun mal keine Komfort-Funktion.

Schau mal unter
Admin/Anwendungen/E-Mail/App-Konfururation
fast ganz unten.

Stefan

Juergen 2025-04-12 08:15:06 UTC #7

Danke.
Das ändert leider nichts hierdran:
Remember the password for 480 minutes.

Habe jetzt aber noch nicht probiert, ob das in 8h wieder fragt oder nicht.
Jürgen

StefanU 2025-04-12 08:28:21 UTC #8

Verstehe ich nicht.
Hast du nun einen höheren Wer eingestellt?

Ich kenne das sonst nur so, dass das Passwort für maximal die Sitzungslänge gecached wird. Bestimmt nicht über mehrere Tage. Aus Gründen…

Stefan

Juergen 2025-04-15 12:54:28 UTC #9

Jepp, mal mit 99999 versucht, wird auch erst mal übernommen.
Bei der nächsten Abfrage dann nach Neustart - z.B. lesen der verschlüsselten Mails in send - kommt wieder die Abfrage-Maske. Hier kann ich dann keine 99999 mehr eintragen, sondern nur noch max 480.
Gruß
Jürgen

StefanU 2025-04-15 13:01:51 UTC #10

Bitte Screenshot.

Stefan

Juergen 2025-04-15 15:29:01 UTC #11

grafik

RalfBecker 2025-04-15 18:06:54 UTC #12

Ist hardcoded:

github.com

EGroupware/egroupware/blob/5cb9c732703b20ae08a6fe8efd973a78d88fa6c6/mail/inc/class.mail_ui.inc.php#L3422


			// do NOT include any default CSS
			$smimeHtml = $this->get_email_header().
			'<div class="smime-message">'.lang("This message is smime encrypted and password protected.").'</div>'.
			'<form id="smimePasswordRequest" method="post">'.
					'<div class="bg-style"></div>'.
					'<div>'.
						'<input type="password" placeholder="'.lang("Please enter password").'" name="smime_passphrase"/>'.
						'<input type="submit" value="'.lang("submit").'"/>'.
						'<div style="margin-top:10px;position:relative;text-align:center;margin-left:-15px;">'.
							lang("Remember the password for ").
								'<input name="smime_pass_exp" type="number" max="480" min="1" placeholder="'.
								(is_array($configs) && $configs['smime_pass_exp'] ? $configs['smime_pass_exp'] : "10").
								'" value="'.$this->mail_bo->mailPreferences['smime_pass_exp'].'"/> '.lang("minutes.").
						'</div>'.
					'</div>'.
			'</form>';
			return $smimeHtml;
		}
		$calendar_part = null;
		$bodyParts	= $this->mail_bo->getMessageBody($uid, ($htmlOptions?$htmlOptions:''), $partID, $structure, false, $mailbox, $calendar_part);

Ralf

Juergen 2025-04-16 08:16:49 UTC #13

Also nichts mit
Admin/Anwendungen/E-Mail/App-Konfururation
fast ganz unten.ändern, zumindest nich nach oben, richtig?

RalfBecker 2025-04-16 11:03:11 UTC #14

Nein, das ist das allg. Sitzungstimeout!

Mal eine dumme Frage: warum hast Du dann überhaupt eine Passphrase gesetzt?

Ohne diese sollte der s/Mime Key direkt mit der Anmeldung (ist mit dem Anmeldepasswort sowieso verschlüsselt) zur Verfügung stehen.

Ralf

Juergen 2025-05-16 07:57:14 UTC #15

Das ist die Passphrase für die Entschlüsselung des Zertifikats. Ohne die geht es halt nicht. Blöd ist halt nur, daß die scheinbar nicht dauerhaft gespeichert wird.

Jürgen

rainer.lilischkis 2025-05-16 08:18:39 UTC #16

Sorry, dass ich mich hier in die Diskussion einhänge, wenn das besser ist mache ich einen eigenen Thread mit gleichem Inhalt auf.

Ich bekomme die Frage nach dem Passwort für die Mailverschlüsselung auch immer und habe nicht verstanden wieso das so ist.
Wir authentifizieren uns über Shibboleth. Funktioniert das dann anders als in Eurem Standard?

beste Grüße
Rainer

RalfBecker 2025-05-16 13:28:08 UTC #17

Hallo Jürgen und Rainer,

Das ist ganz einfach, wir speichern die Passphrase aus Sicherheitsgründen nur für eine gewisse Zeit in der Sitzung, nicht aber in der Datenbank.

Generell kannst Du die Passphrase von Deinem S/Mime Schlüssel entfernen, bevor Du Ihn EGroupware anvertraust, dann wirst Du auch nicht ständig danach gefragt. Generell verschlüsseln wir den Key mit Deinem Passwort, so das er in einem Datenbank Dump z.B. nicht einfach ausgelesen werden kann.

Ralf

rainer.lilischkis 2025-05-19 06:22:35 UTC #18

Hallo Ralf,

funktioniert die Verschlüsselung des Keys in EGW auch, wenn wir die Anmeldung über Shibboleth machen? Welches Passwort würde dann zur Verschlüsselung benutzt?

beste Grüße
Rainer

RalfBecker 2025-05-19 06:47:39 UTC #19

Also wenn der S/Mime Key nach der Umstellung auf Shiboleth/SAML (und ich meine hier nicht die optionale, sondern die generelle Authentifizierung!) erfolgt ist, wird der S/Mime Key mit dem System Secret (Datenbank Passwort) verschlüsselt, und nicht mit dem Benutzer Passwort (das wir unter Shibboleth/SAML ja nicht kennen).

Ralf

Juergen 2025-05-19 09:50:49 UTC #20

Ich steh auf dem Schlauch - wie geht das? Bei einem von Digicert geliefertem Cert?

Jürgen

RalfBecker 2025-05-19 10:03:02 UTC #21

Einfach mal danach googeln:
https://www.google.com/search?q=openssl+remove+passphrase+from+smime+cert

Generell könnten wir dazu natürlich auch eine Checkbox in der GUI machen …

Ralf

Juergen 2025-05-19 11:35:15 UTC #22

Hatte ich. OpenSSL war das fehlende Stichwort.
Danke!
Jürgen

Juergen 2025-05-19 12:14:12 UTC #23

Es hilft nichts, ich steh weiter auf dem Schlauch.
OpenSSL unter Windows.
openssl pkcs12 -in cert.p12 -out cert_ohne_PW.p12
Es folgt die in-PW-Abfrage.
Dann die Frage:
Enter PEM pass phrase:
Wenn ich das leer lasse, kommt
Error outputting keys and certificates
A4630000:error:14000065:UI routines:UI_set_result_ex:result too small:crypto\ui\ui_lib.c:875:You must type in 4 to 511 characters
A4630000:error:1400006B:UI routines:UI_process:processing error:crypto\ui\ui_lib.c:528:while reading strings
A4630000:error:0480006D:PEM routines:PEM_def_callback:problems getting password:crypto\pem\pem_lib.c:62:
A4630000:error:07880109:common libcrypto routines:do_ui_passphrase:interrupted or cancelled:crypto\passphrase.c:178:
A4630000:error:1C80009F:Provider routines:p8info_to_encp8:unable to get passphrase:providers\implementations\encode_decode\encode_key2any.c:123:

Es wird zwar eine Datei erstellt mit
-----BEGIN CERTIFICATE-----
MIIGMDCCBBigAw etc.
die läßt sich aber nicht speichern in egroupware, ist jedenfalls immer weg.
Ich fürchte, ich benötige ein Howto …
Danke
Jürgen

Juergen 2025-05-27 09:35:03 UTC #24

Nachtrag:
Doch noch was gefunden:

gist.github.com

https://gist.github.com/5nizza/7ae9cff0d43f33818a33

remove_pass_from_cert.sh

#!/bin/bash

# the source: http://serverfault.com/questions/515833/how-to-remove-private-key-password-from-pkcs12-container

if [ $# -ne 2 ]
then
  echo "Usage: `basename $0` YourPKCSFile YourPKCSPassword"
  exit $E_BADARGS
fi

This file has been truncated. show original

Damit hat es jetzt bei mir geklappt.
Jürgen