Discussion :

[Delwett]

Bonjour,
J'ai sur domino deux utilisateurs :
- "MainUser" ayant la base de données MainUser.nsf
- "SecondUser" ayant la base de données SecondUser.nsf

J'ai donné les droit d’accès a l'utilisateur MainUser sur la base de données SecondUser.nsf en tant que créateur il peut consulté et envoyé des emails, sans aucun problème.

Maintenant je viens de chiffrer la base de données SecondUser.nsf en suivant la procédure : Boutton droit sur la base de données> propriété> parametre de chiffrement> chiffrer localement cette base de données avec chiffrement renforcé. Malheureusement l'utilisateur MainUser n'arrive pas a décrypté et affiché le contenue des emails de la base de données SecondUser.nsf .

Est ce qu'il y a un moyen pour permettre a MainUser de dechiffré les emails de SecondUser dans la base de données SecondUser.nsf ?

Merci d'avance.

[Jérôme Deniau]

Seule solution demander à SecondUserde faire click droit, la clé et d'ajouter mainUsersur les mails qu'ils veut que MainUser puisse voir.

Sinon si c'est en client lourd toujours, créer une clé de chiffrement (SecondUser) qu'il partage avec MainUser et ils chiffrent les mails reçus avec cette clé de chiffrement.

[Fabrice Papirnyk]

Le chiffrement complet d'une base, c'est pour protéger une base qu'on emmène en local sur sa machine.
A mon avis, sur serveur c'est seulement une source de problèmes.

[Delwett]

Merci pour vos réponses.

Seule solution demander à SecondUserde faire click droit, la clé et d'ajouter mainUsersur les mails qu'ils veut que MainUser puisse voir.

Sinon si c'est en client lourd toujours, créer une clé de chiffrement (SecondUser) qu'il partage avec MainUser et ils chiffrent les mails reçus avec cette clé de chiffrement.

Je viens de tester et ça marche très bien, est ce qu'il y a un moyen d'affecter la nouvelle clé automatiquement ? sans demander a chaque fois a SecondUserde de faire le Click droit et choisir la clé partagée ?

Le chiffrement complet d'une base, c'est pour protéger une base qu'on emmène en local sur sa machine.
A mon avis, sur serveur c'est seulement une source de problèmes.

Il complique la vie certe mais ça reste une sécurité supplémentaire.

[Jérôme Deniau]

Ouvrir le fichier ID, Fichier/Securité/Fichier ID.... (enfin en franglais)

Ca donne cette boite de dialogue créer une nouvelle clé, l'exporter (soit pas mail soit par fichier en permettant ou non de transférer la-dite clé générée)



Ensuite deux possibilité une fois qu'on a la clé dasn son propre fichier ID.
Sur un document/click droit cliquer sur la clé dasn la dialogbox et choisir la clé stocké dans le fichier ID


Sinon directement dans le masque sous Designer dans le masque

[Delwett]

Merci beaucoup pour ta réponse la première possibilité pour le faire en sélectionnant le document marche très bien.

Mais je suis plus intéressé par la 2eme méthode : "directement dans le masque sous Designer dans le masque", je n'ai jamais utilisé Designer comment accéder au menu dans votre capture d’écran et modifier la vue de réception et d'envoi ?

Edit : J'ai trouvé comment lancer la modification de la vue dans Designer, voila une capture d’écran de mon interface mais je n'arrive pas a accéder au menu permettant la modification de la clé de cryptage par défaut dans le masque :

[Jérôme Deniau]

Alors s'assurer que la base n'hérite plus du modèle IBM Domino (à chaque mise à jour il faudra appliquer manuellement le modèle + la modification le cas échéant), en fonction du serveur Domino la tâche DESIGN s'exécute tous les jours à 1 heure du matin ET te mis à jour les bases qui héritent de ce modèle, donc dans les propriétés de la base décocher l'option cette base hérite du modèle



1/ Dans la partie de gauche dans laquelle on liste tous les objets d'une base tu arrives par défaut sur MASQUES, dans la partie centrale, tu as la liste des masques
2/ Dans la liste des masque il te faut trouver le masque "Mémo", il a normalement une étoile jaune devant son nom

3/ Une fois ce masque trouvé, double cliquer cela fait passer le masque en édition puis click droit et la petite clé puis enregistrer le masque.

NB: l'utilisateur peut avoir une alerte de type LCE (Liste de COntrole d'Exécution: pour éviter d'avoir des virus ou autre) si ton compte iBM Notes n'est pas défini avec les droits mais une fois accepté par les utilisateurs cele disparait.

[Delwett]

Je pense avoir suivi les étapes a la lettre mais ça ne marche pas, MainUser peut décrypter les email seulement si SecondUser sélectionne le document et y ajoute manuellement la clé voila ce que j'ai fait :

- Dans domino admin j'ai décoché l'option d’héritage sur la bd SecondUser.nsf
- Je me suis connecté avec SecondUser dans l'onglet sécurité/id ... et j'ai créé la clé secrète MySharedKey que j'ai partagé avec MainUser
- Je me suis connecté avec SecondUser sur Designer a la BD SecondUser.nsf qui est sur le serveur pas en local
- Dans les masque j'ai cherché Message avec l'étoile (Mémo) puis avec click droit / propriété du masque ... j'ai spécifié la clé de décryptage par défaut MySharedKey et sauvegarder le masque
- Je me suis connecté avec [B]TroisiemeUser[B] et j'ai envoyé un email crypté a SecondUser
- Je me suis connecté avec MainUser et j'ai ouver la base de données SecondUser.nsf
- Quand j'ai choisi la boite de réception j ai reçu l'alerte de type LCE que j'ai accepté puis j'ai reçu une autre en double cliquant sur l'email envoyé précédemment
- l'email s'ouvre mais le contenu est crypté je n'arrive toujours pas a le lire , pour le décrypter j'ai du me connecté avec SecondUser aller dans les propriété des document et ajouté manuellement la clé MySharedKey

J'ai surement raté quelque chose dans les manipulation mais je ne vois pas quoi.

[Jérôme Deniau]

Alors si je chiffre un maill vers Seconduser, c'est la clé publique de secondeuser qui est prise des annuaires et chiffre le mail, dans le cas présent on ne veut pas que Domino fasse cela:

Le test est uniquement d'envoyer le mail SANS chiffrement pour valider que la clé défini dans le masque sera bien celle qui sera utilisée pour chiffrer le document

[Delwett]

Alors si je chiffre un maill vers Seconduser, c'est la clé publique de secondeuser qui est prise des annuaires et chiffre le mail, dans le cas présent on ne veut pas que Domino fasse cela:

Le test est uniquement d'envoyer le mail SANS chiffrement pour valider que la clé défini dans le masque sera bien celle qui sera utilisée pour chiffrer le document

Rebonjour,
Je viens de faire le test si j'envoie un email SANS chiffrement (décocher la case Encrypt qui est en haut avant de cliquer sur envoyé l'email + décocher l'option crypter la base de données sur SecondUser.nsf) vers SecondUser, MainUser n'arrive plus a lire le contenu de l'email !! Voila le message qui s'affiche :




Par contre si SecondUser sélectionne l'email en question et applique manuellement la clé secrète qui est partagé avec MainUser , ça donne bien le droit a MainUser pour voir le contenu de l'email.


Merci.


NB : l'email envoyé en clair n'a pas de clé, il n'a pas récupéré celle du masque.

[Jérôme Deniau]

Vérifier

- Avec l'admin Domino: est ce que les mails sont chiffrés en automatique?
- Avec seconduser: a t'il configuré Notes pour chiffrer les mails qu'il reçoit

[Delwett]

Vérifier

- Avec l'admin Domino: est ce que les mails sont chiffrés en automatique?
- Avec seconduser: a t'il configuré Notes pour chiffrer les mails qu'il reçoit

1) l'admin a coché la case : "Chiffrer" dans les option du message avant de l'envoyé
2) seconduser a l'option chiffrer les emails reçu avant de les stocké sur le serveur coché

[Jérôme Deniau]

Ok, donc à seconduser de se taper cle click droit pour les documents qu'il souhaite partager à mainuser. SInon cela fait changer l'archi/la sécurité globale et comme je ne connais pas le contexte on ne touche à rien côté admin et configuration. A seconuser de donner les droits sur les documents qu'il veut bien partager avec mainuser.

[Delwett]

Ok, donc à seconduser de se taper cle click droit pour les documents qu'il souhaite partager à mainuser. SInon cela fait changer l'archi/la sécurité globale et comme je ne connais pas le contexte on ne touche à rien côté admin et configuration. A seconuser de donner les droits sur les documents qu'il veut bien partager avec mainuser.

ok merci pour ton aide en tout cas ça m'a permis de mieux comprendre la logique, j’espère qu'il y a quelqu'un d autre ici qui connait une solution et qui voudra bien la partagé avec nous.

[Fabrice Papirnyk]

Dans le temps, je pense que ce n'est pas viable, c'est trop complexe pour l'utilisateur. Tu auras bcp de mal à trouver qqn qui utilise ceci couramment.
En plus avec le risque de perdre des données définitivement si on perd les clés d'accès.
Il faut plutôt se concentrer sur la sécurisation de l'accès au serveur, et sur l'usurpation de compte.
Aucune sécurité ne tient quand on soutire le mot de passe de l'utilisateur, ce qui est assez facile avec du phishing.

[Jérôme Deniau]

Disons que l'information est lié aux utilisateurs et donc leurs fichiers ID.

Donc sans développement il faudrait considérer l'envoi des mails vers secondusers.

Soit c'est une base 'générique' dans ce cas créer un groupe de diffusion avec toirs utilisateurs mail/second/balgenerique)
Ou alors une base courrier en arrivée avec une règle qui envoie une copie complète du mail.

Sinon en développement ce serait d'avoir un code qui à l'ouverture qui crypte les malils avec la ou les clés du fichier ID.

Donc il faudrait d'abord savoir le mode de fonctionnement entre seconduser et mainuser concernant la base mail.

[Delwett]

Finalement je laisse tombé cette idée. J'ai opter pour l'installation des deux ids chez l'utilisateur au besoin il fait un changement d'id pour consulter l'autre base de données.
Je ne trouve pas la solution très pratique mais elle évite les problème coté serveur et la complexité du développement.
Merci pour vos réponses.