Microsoft Outlook : Impossible d'ouvrir les e-mails chiffrés avec S/MIME. Le message d'erreur „Your digital ID name cannot be found by the underlying security system“ apparaît.“

Supposons le scénario suivant :

• Un utilisateur reçoit un message électronique crypté avec Secure/Multipurpose Internet Mail Extensions (S/MIME).
• Le message ne peut pas être ouvert.
• Le message d'erreur suivant s'affiche à l'ouverture du message :

Sorry, we're having trouble opening this item. This could be temporary, but if you see it again you might want to restart Outlook. Your digital ID name cannot be found by the underlying security system.

Die deutschsprachige Variante der Fehlermeldung:

Leider besteht ein Problem beim Öffnen dieses Elements. Dies kann vorübergebend sein. Wenn dieser Fehler erneut auftritt, sollten Sie Outlook neu starten. Der Name Ihrer digitalen ID kann im zugrunde liegenden Sicherheitssystem nicht gefunden werden.

Causes possibles

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Folgende Ursachen kommen in Frage:

• Unpassende S/MIME Capabilities im Zertifikat
• Privater Schlüssel beim Empfänger nicht vorhanden
• Privater Schlüssel beim Empfänger nicht verwendbar

Details: Unpassende S/MIME Capabilities

Die Fehlermeldung tritt auf, wenn die E-Mail mit AES verschlüsselt, das verwendete Zertifikat jedoch eine S/MIME Capabilities Zertifikaterweiterung mit Einschränkung auf 3DES hat.

Ein solcher Fall tritt vermutlich ein, wenn dem Absender ein Zertifikat des Empfängers ohne S/MIME Capabilities Erweiterung vorliegt und er Outlook à partir de 2016 avec hotfix KB4484511 oder neuer verwendet, der Empfänger wiederum ein (potentiell erneuertes) Zertifikat mit dem gleichen privaten Schlüssel, aber mit der S/MIME Capabilities Erweiterung (und Einschränkung auf die „Legacy“ Algorithmen) verfügt.

Details: Privater Schlüssel beim Empfänger nicht vorhanden

Diese Fehlermeldung tritt auch dann auf, wenn man als Empfänger versucht, eine verschlüsselte E-Mail zu öffnen und man nicht über den dafür benötigten privaten Schlüssel verfügt.

Letzteres kann insbesondere dann vorkommen,

• wenn der Empfänger zwar über ein S/MIME Zertifikat verfügt, dieses aber auf dem betreffenden System nicht vorhanden ist, beispielsweise
  • weil er an einem einen neuen Computer arbeitet
  • weil er in einer Terminalsitzung (Remote Desktop) arbeitet
  • weil das Zertifikat auf einer Smartcard befindet, und diese noch nie am betreffenden Computer angeschlossen war
  • weil das Zertifikat ursprünglich für einen anderen Zweck (z.B. Teilnahme an öffentlichen Ausschreibungen) beantragt wurde und noch nicht im Kontext S/MIME zum Einsatz kam.
• wenn der Empfänger versucht, eine „historische“ E-Mail Nachricht zu öffnen, also eine Nachricht, die er erhalten hat, bevor ihm ein neues S/MIME Zertifikat ausgestellt wurde, und das vorige Zertifikat (samt privatem Schlüssel) auf dem betreffenden System nicht vorhanden ist.
• wenn die Nachricht auf der S/MIME-Schicht gar nicht für den Empfänger verschlüsselt wurde
  • das kann beispielsweise dann auftreten, wenn der Absender eine Mail an mehrere Absender sendet und er nicht die S/MIME Zertifikate aller Empfänger kennt (Outlook warnt den Absender in diesem Fall).
  • das kann auch passieren, wenn ein Verschlüsselungs-Gateway verwendet wird, das den öffentlichen Schlüssel des Empfängers nicht kennt.

Dans l'article "Microsoft Outlook : trouver les certificats des destinataires pour les e-mails cryptés S/MIME“ ist beschrieben, wie man einen Einblick in die Verschlüsselungsschicht einer E-Mail bekommt, um zu ermitteln, mit welchen Zertifikaten die Nachricht entschlüsselt werden kann.

Bitte beachten, dass einige E-Mail Gatewaysysteme E-Mails automatisch für den Empfänger verschlüsseln, wenn dessen S/MIME Zertifikat in den gängigen Verzeichnissen der öffentlichen Zertifizierungsstellen-Anbieter gelistet ist. Beispielsweise kann über einen Onlinedienst der Firma Zertificon Einblick in diese Verzeichnisse erfolgen.

Details: Privater Schlüssel beim Empfänger nicht verwendbar

Das Problem kann auch beim Absender auftreten, wenn dieser versucht, eine verschlüsselte Mail in seinem „Gesendete Objekte“ Ordner zu öffnen, und er seinen eigenen privaten Schlüssel nicht nutzen kann.

Es kann auch vorkommen, dass ein Benutzer zwar das korrekte Zertifikat in seinem Schlüsselspeicher besitzt, dieses aber nicht zum entschlüsseln einer Nachricht geeignet ist. Dies kann beispielsweise dann vorkommen, wenn das Schlüsselpaar mit dem falschen Cryptographic Service Provider (CSP) bzw. Key Storage Provider (KSP) erzeugt wurde.

Wurde das Schlüsselpaar beispielsweise per certreq.exe mit einer INF Datei erzeugt, und diese enthält keine Angabe zum Schlüsselspeicheranbieter, wird der Microsoft Base Cryptographic Provider v1.0 verwendet. Dieser kann unter Umständen zwar zum Signieren von Nachrichten, aber nicht für deren Entschlüsselung eingesetzt werden. Bei Cryptographic Service Providern kann auch eine Einschränkung auf dem privaten Schlüssel vorliegen (KeySpec), dass dieser im Allgemeinen nur zum Signieren eingesetzt werden kann (AT_SIGNATURE aber nicht AT_KEYEXCHANGE), was ebenfalls der Fall ist, wenn die Option nicht angegeben wurde.

Wie herausgefunden werden kann, welchen Schlüsselspeicheranbieter ein Zertifikat verwendet, ist im Artikel „Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)" décrit.

Solution

Bereitstellung/Wiederherstellung des S/MIME Zertifikats

Die Lösung ist in den meisten Fällen, das S/MIME Zertifikat des Benutzers mitsamt privatem Schlüssel am entsprechenden Computer verfügbar zu machen. Hierfür muss in den meisten Fällen eine Wiederherstellung des privaten Schlüssels durch einen Schlüsselwiederherstellungs-Agenten (Key Recovery Agent, KRA) erfolgen.

Outlook-Cache beim Absender zurücksetzen

Wenn das Phänomen nur bei einzelnen Absendern auftritt, kann es in seltenen Fällen auch an diesem liegen.

Ein Indiz um festzustellen, ob man von diesem Problem betroffen ist, kann sein, dass es nicht möglich ist, den Empfänger aus dem Adressfeld in die Outlook-Kontakte einzutragen. In diesem Fall erhält der Absender folgende Fehlermeldung:

Der gewünschte Vorgang konnte nicht ausgeführt werden. Der ausgewählte Befehl ist für den Empfänger nicht gültig. Der Empfänger kann nicht den Kontakten hinzugefügt werden. Eine interne Hilfsfunktion hat einen Fehler gemeldet.

Ist dies der Fall ist es hilfreich, beim Absender den Empfänger aus der AutoVervollständigen-Liste in Outlook zu löschen (neue E-Mail verfassen und den Empfänger eingeben, mit der Maus in der Liste der Vorschläge den Empfänger markieren und „Entfernen“-Taste drücken), oder den gesamten NickName (AutoComplete) Cache des Absenders zu löschen, damit der öffentliche Schlüssel des Empfängers neu aus dem globalen Adressbuch gelesen wird.

Liens complémentaires :

• L'extension de certificat "S/MIME Capabilities
• Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)

Sources externes

• Nickname cache (Microsoft)
• Autocomplete Stream (Microsoft)
• Clearing AutoComplete and other Recipient Caches (ENow Software)
• Votre nom d'identification numérique ne peut pas être trouvé Erreur lors du décryptage d'un message à l'aide d'un certificat 3DES (Microsoft)