Microsoft Outlook : Impossible d'ouvrir les e-mails chiffrés avec S/MIME. Le message d'erreur „Your digital ID name cannot be found by the underlying security system“ apparaît.“

Supposons le scénario suivant :

• Un utilisateur reçoit un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
• Le message ne peut pas être ouvert.
• Le message d'erreur suivant s'affiche à l'ouverture du message :

Sorry, we're having trouble opening this item. This could be temporary, but if you see it again you might want to restart Outlook. Your digital ID name cannot be found by the underlying security system.

La version francophone du message d'erreur :

Leider besteht ein Problem beim Öffnen dieses Elements. Dies kann vorübergebend sein. Wenn dieser Fehler erneut auftritt, sollten Sie Outlook neu starten. Der Name Ihrer digitalen ID kann im zugrunde liegenden Sicherheitssystem nicht gefunden werden.

Causes possibles

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Les causes suivantes peuvent être envisagées :

• Capabilités S/MIME inadaptées dans le certificat
• Clé privée non disponible chez le destinataire
• Clé privée non utilisable par le destinataire

Détails : Capacités S/MIME inadaptées

Le message d'erreur apparaît, si le courriel est crypté avec AES, mais que le certificat utilisé est une Capacités S/MIME Extension du certificat avec limitation à 3DES a.

Un tel cas se présente probablement lorsque l'expéditeur dispose d'un certificat du destinataire sans l'extension S/MIME Capabilities et qu'il Outlook à partir de 2016 avec hotfix KB4484511 ou plus récent, le destinataire utilise à son tour un certificat (potentiellement renouvelé) avec la même clé privée, mais avec l'extension S/MIME Capabilities (et limitation aux algorithmes „Legacy).

Détails : clé privée non disponible chez le destinataire

Ce message d'erreur apparaît également lorsque le destinataire tente d'ouvrir un e-mail crypté et qu'il ne dispose pas de la clé privée nécessaire.

Cette dernière situation peut notamment se produire lorsque,

• si le destinataire dispose d'un certificat S/MIME mais que celui-ci n'est pas présent sur le système concerné, par exemple
  • parce qu'il travaille sur un nouvel ordinateur
  • parce qu'il travaille dans une session de terminal (bureau à distance)
  • parce que le certificat se trouve sur une carte à puce et que celle-ci n'a jamais été connectée à l'ordinateur en question
  • parce que le certificat a été demandé à l'origine dans un autre but (par ex. participation à des appels d'offres publics) et n'a pas encore été utilisé dans le contexte S/MIME.
• lorsque le destinataire tente d'ouvrir un message électronique „historique“, c'est-à-dire un message qu'il a reçu avant qu'un nouveau certificat S/MIME ne lui soit délivré et que le certificat précédent (ainsi que la clé privée) n'existe pas sur le système concerné.
• si le message n'a pas été chiffré pour le destinataire dans la couche S/MIME
  • cela peut par exemple se produire lorsque l'expéditeur envoie un mail à plusieurs expéditeurs et qu'il ne connaît pas les certificats S/MIME de tous les destinataires (Outlook avertit l'expéditeur dans ce cas).
  • cela peut aussi se produire si une passerelle de cryptage est utilisée qui ne connaît pas la clé publique du destinataire.

Dans l'article "Microsoft Outlook : trouver les certificats des destinataires pour les e-mails cryptés S/MIME“La section "Certificats" décrit comment obtenir un aperçu de la couche de cryptage d'un courriel afin de déterminer quels certificats peuvent être utilisés pour décrypter le message.

Veuillez noter que certains systèmes de passerelle de messagerie chiffrent automatiquement les e-mails pour le destinataire si son certificat S/MIME est répertorié dans les répertoires courants des fournisseurs d'autorités de certification publiques. Par exemple, un Service en ligne de la société Zertificon Les données peuvent être consultées dans ces registres.

Détails : clé privée non utilisable par le destinataire

Le problème peut également survenir chez l'expéditeur lorsqu'il tente d'ouvrir un courrier crypté dans son dossier „Éléments envoyés“ et qu'il ne peut pas utiliser sa propre clé privée.

Il peut également arriver qu'un utilisateur possède le bon certificat dans sa liste de clés, mais que celui-ci ne soit pas approprié pour décrypter un message. Cela peut se produire, par exemple, si la paire de clés est utilisée avec le mauvais certificat. Fournisseur de services cryptographiques (CSP) ou fournisseur de stockage de clés (KSP) a été généré.

Par exemple, si la paire de clés a été générée par certreq.exe à l'aide d'un fichier INF et que ce dernier ne contient pas d'indication sur le fournisseur de stockage de clés, l'utilisateur est invité à saisir le nom du fournisseur de stockage de clés. Microsoft Base Cryptographic Provider v1.0 est utilisé. Dans certains cas, celle-ci peut être utilisée pour signer des messages, mais pas pour les décrypter. Pour les fournisseurs de services cryptographiques, il peut également y avoir une restriction sur la clé privée (KeySpec), selon laquelle celle-ci ne peut généralement être utilisée que pour la signature (AT_SIGNATURE mais pas AT_KEYEXCHANGE), ce qui est également le cas si l'option n'est pas spécifiée.

Pour savoir quel fournisseur de stockage de clés est utilisé par un certificat, consultez l'article „Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)" décrit.

Solution

Déploiement/récupération du certificat S/MIME

Dans la plupart des cas, la solution consiste à rendre le certificat S/MIME de l'utilisateur et sa clé privée disponibles sur l'ordinateur concerné. Pour cela, il faut dans la plupart des cas créer une Récupération de la clé privée par un agent de récupération de clé (Key Recovery Agent, KRA).

Réinitialiser le cache d'Outlook chez l'expéditeur

Si le phénomène ne se produit que pour certains expéditeurs, il est possible, dans de rares cas, qu'il soit dû à ce dernier.

Un indice pour déterminer si l'on est concerné par ce problème peut être qu'il n'est pas possible de saisir le destinataire dans les contacts Outlook à partir du champ d'adresse. Dans ce cas, l'expéditeur reçoit le message d'erreur suivant :

Der gewünschte Vorgang konnte nicht ausgeführt werden. Der ausgewählte Befehl ist für den Empfänger nicht gültig. Der Empfänger kann nicht den Kontakten hinzugefügt werden. Eine interne Hilfsfunktion hat einen Fehler gemeldet.

Si c'est le cas, il est utile de supprimer le destinataire de la liste de complétion automatique d'Outlook chez l'expéditeur (composer un nouvel e-mail et saisir le destinataire, sélectionner le destinataire avec la souris dans la liste des propositions et appuyer sur la touche „Supprimer“), ou de supprimer tout le cache NickName (AutoComplete) de l'expéditeur pour que la clé publique du destinataire soit à nouveau lue dans le carnet d'adresses global.

Liens complémentaires :

• L'extension de certificat "S/MIME Capabilities
• Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)

Sources externes

• cache du pseudo (Microsoft)
• Flux autocomplet (Microsoft)
• Compensation d'AutoComplete et d'autres caches de destinataires (ENow Software)
• Votre nom d'identification numérique ne peut pas être trouvé Erreur lors du décryptage d'un message à l'aide d'un certificat 3DES (Microsoft)